Laut CloudSEK nutzt diese kritische Schwachstelle die Sitzungspersistenz und die Cookie-Generierung aus, wodurch Bedrohungsakteure unbefugt Zugang zu gültigen Sitzungen erhalten können.
Am 20. Oktober 2023 machte ein Bedrohungsakteur namens PRISMA die Technik erstmals auf seinem Telegram-Kanal bekannt. Seitdem wurde die Technik in verschiedene Anwendungen integriertMalwareAs-a-Service (MaaS) Stealer-Familien wie Lumma, Rhadamanthys, Stealc, Meduza, RisePro und WhiteSnake.
Der MultiLogin-Authentifizierungsendpunkt wird in erster Linie dazu verwendet, Google-Konten dienstübergreifend zu synchronisieren, wenn sich ein Nutzer über Chrome bei seinem Konto (d. h. seinem Profil) anmeldet.
Der Sicherheitsforscher Pavan Karthick M. sagte: "Reverse Engineering des Lumma Stealer-Codes zeigt, dass die Technik auf die WebData-Tabelle token_service von Chrome abzielt, um Token und Konto-IDs für eingeloggte Chrome-Profile zu extrahieren. Die Tabelle enthält zwei Schlüsselspalten: den Dienst (GAIA-ID) und das kryptografische Token.
Dieses Token:GAIA-ID-Paar wird dann mit dem MultiLogin-Endpunkt kombiniert, um das Google-Authentifizierungs-Cookie neu zu generieren.
Testen Sie verschiedene Szenarien zur Erzeugung von Token-Cookies auf drei Arten
Wenn sich ein Benutzer über einen Browser anmeldet, kann das Token in diesem Fall mehrfach verwendet werden.
Wenn ein Nutzer sein Passwort ändert, aber weiterhin bei Google angemeldet bleibt, kann das Token in diesem Fall nur einmal verwendet werden, da das Token bereits einmal verwendet wurde, um den Nutzer angemeldet zu halten.
Meldet sich der Nutzer aus dem Browser ab, wird das Token gelöscht und aus dem lokalen Speicher des Browsers entfernt und bei der erneuten Anmeldung neu generiert.
Google bestätigte in einem Interview die Existenz der Angriffsmethode, wies aber darauf hin, dass die Nutzer die gestohlenen Sitzungen rückgängig machen können, indem sie sich bei dem betroffenen Browser abmelden.
Google hat die jüngsten Berichte über Malware-Familien zur Kenntnis genommen, die Sitzungs-Token stehlen". Angriffe, bei denen Malware Cookies und Token stiehlt, sind nicht neu. Wir aktualisieren regelmäßig unsere Schutzmaßnahmen, um uns vor solchen Techniken zu schützen und die Sicherheit der Nutzer zu gewährleisten, die Opfer von Malware werden. In diesem Fall hat Google Maßnahmen ergriffen, um die Sicherheit aller entdeckten kompromittierten Konten zu gewährleisten.
Es ist jedoch wichtig, darauf hinzuweisen, dass der Bericht die falsche Annahme enthält, dass Benutzer gestohlene Token und Cookies nicht widerrufen können", heißt es weiter. Dies ist falsch. Gestohlene Sitzungen können deaktiviert werden, indem man sich bei dem betroffenen Browser abmeldet oder sie aus der Ferne über die Geräteseite des Benutzers widerruft. Wir werden die Situation weiter beobachten und bei Bedarf Updates bereitstellen.
Den Nutzern wird empfohlen, die Funktion "Erweitertes sicheres Browsen" in Chrome zu aktivieren, um das Herunterladen von Phishing- und Malware zu verhindern.
Sicherheitsempfehlungen:
Ändern Sie Passwörter, um zu verhindern, dass Angreifer den Passwort-Reset-Prozess nutzen, um den Zugang wiederherzustellen.
Überwachen Sie die Kontoaktivitäten und achten Sie auf verdächtige Anmeldungen von unbekannten IPs und Standorten.
Der Vorfall verdeutlicht die potenziellen Herausforderungen herkömmlicher Methoden der Kontosicherheit und den Bedarf an fortschrittlicheren Sicherheitslösungen, um den von Cyberkriminellen häufig genutzten Bedrohungen durch Informationsdiebstahl zu begegnen.
Durch den Sicherheitsvorfall wurde eine komplexe Schwachstelle aufgedeckt, die herkömmliche Ansätze zur Kontosicherheit in Frage stellen könnte. Die von Google ergriffenen Maßnahmen sind zwar wertvoll, doch zeigt diese Situation, dass fortschrittlichere Sicherheitslösungen erforderlich sind, um sich mit den sich entwickelnden Cyberbedrohungen auseinanderzusetzen, z. B. mit Programmen zum Diebstahl von Informationen, die heute unter Cyberkriminellen so weit verbreitet sind.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://www.cncso.com/de/malware-using-google-multilogin-exploit.html
