Een nieuwe methode heeft hackers naar verluidt in staat gesteld de functionaliteit van het OAuth2-autorisatieprotocol te misbruiken om Google-accounts te hacken en geldige sessies te behouden door cookies opnieuw te maken, ondanks het opnieuw instellen van het IP-adres of het wachtwoord.
Volgens beveiligingsbedrijf CloudSEK beschikt de dreigingsactor onder de alias PRISMA over een robuuste zero-day exploit en heeft hij een geavanceerde oplossing ontwikkeld om persistente Google-cookies te creëren door middel van tokenmanipulatie.
“Deze exploit maakt voortdurende toegang tot Google-services mogelijk, zelfs nadat het wachtwoord van een gebruiker opnieuw is ingesteld”, aldus het rapport.
OAuth 2.0 staat voor “Open Authorization 2.0” en is een veelgebruikt protocol voor het beveiligen en autoriseren van toegang tot bronnen op internet. Het maakt het verifiëren van de identiteit van een gebruiker eenvoudig door op zijn sociale media-accounts, zoals Google of Facebook, te klikken.
Het CloudSEK-dreigingsonderzoeksteam identificeerde de oorzaak van de exploit in een ongedocumenteerd Google Oauth-eindpunt genaamd ‘MultiLogin’. Dit is een intern mechanisme dat is ontworpen om Google-accounts binnen de Services te synchroniseren, zodat de status van browseraccounts consistent is met Google-authenticatiecookies.
De ontwikkelaar van de kwetsbaarheid uitte “openheid voor samenwerking”, wat de ontdekking van het eindpunt dat verantwoordelijk is voor de cookievernieuwing versnelde.
Deze kwetsbaarheid, die op 14 november werd geïntegreerd in de malware Lumma Infostealer, heeft twee hoofdkenmerken: sessiepersistentie en het genereren van cookies. Om de vereiste geheimen, tokens en account-ID's eruit te filteren, richt de malware zich op de WebData token_service-tabel van Chrome voor ingelogde Chrome-profielen.
“De sessie blijft geldig, zelfs als het accountwachtwoord wordt gewijzigd, wat een uniek voordeel oplevert bij het omzeilen van typische beveiligingsmaatregelen.” Het rapport citeert Prisma. “De mogelijkheid om geldige cookies aan te maken in het geval van een sessieonderbreking vergroot het vermogen van een aanvaller om ongeautoriseerde toegang te behouden.”
Onderzoekers hebben een zorgwekkende trend waargenomen van snelle integratie van exploits tussen verschillende Infostealer-groepen. Ze zijn van mening dat het exploiteren van het ongedocumenteerde Google OAuth2 MultiLogin-eindpunt een schoolvoorbeeld van verfijning is, omdat de aanpak berust op zorgvuldige manipulatie van de GAIA ID-code (Google Accounts en ID Management). De malware verbergt het exploitatiemechanisme met behulp van een coderingslaag.
“Deze exploit demonstreert een hoger niveau van verfijning en begrip van de interne authenticatiemechanismen van Google. Door het token:GAIA ID-paar te manipuleren, kan Lumma voortdurend cookies voor Google-services opnieuw aanmaken. Nog verontrustender is het feit dat deze exploit effectief blijft.” gebruikers hun wachtwoord opnieuw instellen, zorgt deze voortdurende toegang ervoor dat gebruikersaccounts en gegevens lange tijd kunnen worden misbruikt, misschien onopgemerkt.
Cybernews heeft contact opgenomen met Google, maar heeft nog geen reactie ontvangen.
Ontvang de beste deals voor wachtwoordbeheer voor de feestdagen:
Meer van CyberNews:
Clash of Clans-spelers lopen risico als ze een app van derden gebruiken
De Cybernews-podcast legt de AI-saga van 2023 uit
De tien grootste veiligheidsincidenten in 2023
Hackers stellen tijdens Kerstmis grote hoeveelheden persoonlijke gegevens bloot op het dark web
Google schikt rechtszaak over consumentenprivacy ter waarde van $5 miljard
Deelnemen Naar onze nieuwsbrief
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”