Useat tietoja varastavat haittaohjelmat hyväksikäyttävät dokumentoimatonta Google OAuth -toimintoa nimeltään MultiLogin palauttaakseen toimintaan vanhentuneita tunnistautumisevästeitä ja kirjautuakseen käyttäjien tileille niitä hyväksikäyttäen.
Asiasta kertoo BleepingComputer.
MAINOS (ARTIKKELI JATKUU ALLA)
OAuth on prototokolla, jolla pääsyoikeuksia voi välittää palvelusta toiseen. Esimerkiksi Google-tilillä kirjautuneena voi näin ollen helposti kirjautua muihin palveluihin.
Jo marraskuussa 2023 BleepingComputer kertoi, että kaksi haittaohjelmaa – Lumma ja Rhadamanthys – väittivät voivansa palauttaa käytettäväksi erääntyneitä Googlen autentikaatioevästeitä, joita muut hyökkäykset ovat haittaohjelmille paljastaneet.
Näillä evästeillä rikolliset voivat nyt päästä käsiksi Google-tileihin, vaikka niiden omistajat olisivat kirjautuneet ulos, vaihtaneet salasanansa ja evästeen olisi pitänyt vanhentua.
MAINOS (ARTIKKELI JATKUU ALLA)
BleepingComputerin mukaan se oli yhteydessä Googleen useita kertoja kuukauden aikana väitteisiin liittyen, muttei saanut vastausta.
Nyt CloudSEKin tietoturvatutkijat ovat kertoneet raportissaan lisää nollapäivähaavoittuvuuden toiminnasta. Kerrotun mukaan haavoittuvuus paljastui julkisesti ensi kerran jo 20. lokakuuta 2023 Telegram-kanavalla jaetussa viestissä.
CloudSEKin tutkijat havaitsivat hyökkäyskoodia tutkiessaan, että se hyödyntää dokumentoimatonta Google OAuth -toimintoa nimeltään MultiLogin, jonka tarkoitus on synkronoida tilit eri Google-palvelujen välillä.
Paljastuneen haavoittuvuuden myötä CloudSEKin mukaan tietoja varastavat haittaohjelmat voivat hyödyntää käsiinsä saamiaan tunnisteita ja käyttäjätilien tunnistenumeroita Chrome-profiileista, jotka ovat kirjautuneet Google-tilille, yhdessä MultiLogin-toiminnon kanssa luodakseen uudelleen Googlen evästeitä, joilla he pääsevät kirjautumaan käyttäjien tileille.
MAINOS (ARTIKKELI JATKUU ALLA)
Mikäli käyttäjä on vaihtanut salasanaansa, onnistuu uuden tunnistautumisevästeen luominen vain kerran. Muuten niitä voi luoda rajoituksetta mahdollistaen jopa jatkuvan pääsyn Google-käyttäjätilille.
Edellytyksenä MultiLogin-toiminnosta löytyneen haavoittuvuuden hyödyntämiselle on alkuperäisten tunnisteiden ja käyttäjätilien tunnistenumeroiden saaminen käsiin, jonka jälkeen niillä voidaan ikään kuin palauttaa toimintaan vanhentuneet tunnistautumisevästeet.
Haittaohjelmista Lumma alkoi hyödyntää haavoittuvuutta 14. marraskuuta. Toinen haittaohjelma Rhadamanthys seurasi perässä 17. marraskuuta.
Tämän jälkeen useat tietojen varastamiseen suunnitellut haittaohjelmat ovat alkaneet hyödyntää hyökkäystä, mukaan lukien Stealc 1. joulukuuta, Medusa 11. joulukuuta, RisePro 12. joulukuuta sekä Whitesnake 26. joulukuuta alkaen.
MAINOS (ARTIKKELI JATKUU ALLA)
Lumma-haittaohjelmaa on jo ehditty myös päivittämään ohittamaan Googlen haavoittuvuuden käytön rajoittamiseksi tekemiä toimia.
Google ei ole edelleenkään kommentoinut erittäin vakavalta vaikuttavaa haavoittuvuutta. Se ei ole vahvistanut MultiLogin-toiminnon hyväksikäyttöä hyökkäyksissä, tämän hetken tilannetta tai toimiaan tilanteen ratkaisemiseksi.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »