%20(1).webp "Ghosttoken - Sıfır Gün")
Astrix’in Güvenlik Araştırma Grubu, Google Cloud Platform’da (GCP) bir OAuth akış istismarıyla ilgili 0 günlük bir akış bildirdi. Bu yönteme “Ghosttoken” adı verildi.
Bu açıktan yararlanma, tehdit aktörlerinin kurbanın Google hesabına sonsuza kadar erişmesine yol açabilen kötü amaçlı bir uygulama aracılığıyla yapılır.
Bu saldırıyla ilgili en önemli ve korkutucu gerçeklerden biri, gizli kalması ve sonsuza dek tamamen ortadan kaldırılamaz olmasıdır. Neyse ki Google, 7 Nisan 2023’te bu güvenlik açığı için bir yama yayınladı.
GhostToken: Keşif ve Sömürü
Tehdit aktörleri, kötü amaçlı bir uygulamanın yardımıyla bir kurbanın Google hesabına erişim elde etmek için GhostToken güvenlik açığını kullanabilir.
Kullanıcılar, Google hesaplarına erişimi olan uygulamaları incelemek ve gerekirse kaldırmak için Google’ın uygulama yönetimi sayfasını kullanabilir.
Bir kullanıcı bir uygulamaya OAuth akışıyla yetki verdiğinde, uygulama, kullanıcının Google hesabına erişmek için Google’dan bir belirteç alır.
Bununla birlikte, GhostToken istismarı söz konusu olduğunda, kurban kötü amaçlı uygulamaya izin verdiğinde, tehdit aktörü bunu uygulama yönetimi sayfasından gizleyebilir ve bu da kullanıcıların kötü amaçlı uygulamayı bulmasını ve bu uygulamaya erişimi iptal etmesini zorlaştırır.
Kurbanın yeni bir Google hesabı oluşturmaktan başka seçeneği olmayacaktır.
Saldırgan Google hesabını ele geçirdiğinde, bir e-postayı silebilir, bir e-posta gönderebilir, bir kimlik avı saldırısı gerçekleştirebilir, sürücü dosyalarını silebilir, takvim etkinliklerini kontrol edebilir ve hassas bilgilere erişebilir.
Uygulama Yönetimi Sayfasından Gizleme
Google’a göre, bir uygulama OAuth istiyorsa, geliştiricilerin bir proje tanımlayıcısı almak için bir GCP projesi oluşturması gerekir.
Geliştiriciler ayrıca istedikleri zaman uygulamayı silme ve geri yükleme ayrıcalığına sahiptir.
GCP’deki bir uygulama silinirse, projeyi tamamen silmek 30 gün sürer ve uygulama geliştiricisi bunu geri yükleyebilir.
Uygulama, silinmiş durumdayken Google Uygulama Yönetimi Sayfasında görünmez.
Not: Uygulamayı geri yüklerken, uygulamayı tamamen geri yüklemek için kullanılabilecek, oluşturma sırasında sahip olduğu aynı yenileme belirtecine sahip olacaktır.
Saldırganlar, uygulamalarını uygulama yönetimi sayfasından gizlemek için bu güvenlik boşluğunu kullanır.
Azaltma
Bu güvenlik açığına göre, uygulama yönetimi sayfasından gizlendiği için kullanıcının kötü niyetli uygulamayı bulması zor. Ancak, saldırgan uygulamayı her geri yüklediğinde, kullanıcılar kötü amaçlı uygulamaya erişimi iptal edebilir.
Ne yazık ki, kısa bir zaman dilimidir ve saldırganın uygulamayı ne zaman geri yükleyeceği tahmin edilemez.
Google’ın Yaması
Bir düzeltme olarak, Google, kullanıcıların kötü amaçlı uygulama erişimini iptal etmek için kullanabilecekleri, uygulama yönetimi sayfasında bekleyen silinme durumundaki uygulamaları gösterdi.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Okuma: