Erişim Yönetimi, Siber Suçlar, Hizmet Olarak Siber Suçlar
Araştırmacılar, Google OAuth2 Güvenlik Açığının Saldırganlar Tarafından Aktif Olarak Kötüye Kullanıldığı Uyarısında Bulundu
Chris Riotta (@chrisriotta) •
29 Aralık 2023
Araştırmacılar, birden fazla hizmet olarak kötü amaçlı yazılım bilgi hırsızının artık kullanıcılara kurbanın Google hesabına kalıcı erişim sağlamak için kimlik doğrulama belirteçlerini değiştirme yeteneğini de içerdiğini, hatta kullanıcı şifrelerini sıfırladıktan sonra bile uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Siber güvenlik firması CloudSEK’in Cuma günü bildirdiğine göre, kasım ayından bu yana bu yetenek, bir hizmet olarak sunulan bilgi çalan kötü amaçlı yazılım olan Lumma Stealer’a yerleştirildi.
Firmanın araştırmacıları, bu güvenlik açığının özellikle endişe verici olduğunu çünkü bilgisayar korsanlarının tek oturum açma yoluyla Google’a bağlı hesaplara erişime izin vermek için yaygın olarak kullanılan OAuth 2.0 güvenlik protokolünü manipüle etmesine olanak tanıdığını söyledi (bkz.: Uzman Görüşü: Sosyal Ağlarda Tek Oturum Açmadan Kaçının).
Google, yorum talebine hemen yanıt vermedi.
Lumma Stealer, kullanıcılarına “kara kutulama” yoluyla “belgelenmemiş OAuth2 işlevselliğinden” yararlanma, diğer bir deyişle ne yaptığını ve nasıl yaptığını kullanıcılardan saklama yeteneği sağlayan ilk hizmet olarak kötü amaçlı yazılım teklifi gibi görünüyor. CloudSEK raporunda, “Bu stratejik hamle, yalnızca siber suçların rekabetçi ortamında istismarlarının benzersizliğini korumakla kalmıyor, aynı zamanda onlara yasa dışı pazarda avantaj sağlıyor” dedi ve istismar tekniğinin yüksek düzeyde “karmaşıklık ve karmaşıklık” ortaya çıkardığını ekledi. Google’ın dahili kimlik doğrulama mekanizmalarının anlaşılması.”
Lumma Stealer’ın kara kutu yaklaşımına rağmen, diğer kötü amaçlı yazılım dağıtım grupları da bu güvenlik açığından yararlanıyor.
CloudSEK, aralarında Rhadamanthys, RisePro, Meduza ve Stealc Stealer’ın da bulunduğu “Bu istismarın çeşitli kötü amaçlı yazılım grupları arasında hızla yayıldığını” ve Eternity Stealer’ın kısa süre önce bu işlevselliği eklemek için çalıştığını söyledi.
Firmanın araştırma ekibi, güvenlik açığının, PRISMA tanıtıcısını kullanan ve kusurun sıfır gün istismarını ilk kez Ekim ayı sonlarında bir Telegram kanalına gönderen bir gönderide ortaya çıkaran bir saldırgan tarafından keşfedildiğini söyledi. PRISMA tarafından açıklandığı gibi, güvenlik açığından yararlanmak, kullanıcı parolasını değiştirse bile oturumu sürdürme yeteneğinin yanı sıra, oturum kesintiye uğrasa bile geçerli kimlik doğrulama çerezleri oluşturma yeteneği de dahil olmak üzere “oturum kalıcılığına” olanak tanır. CloudSEK, “yetkisiz erişimi sürdürebileceğini” söyledi.
Pavan Karthick M, bu istismarın bir Google hesabını tehlikeye atmak için kullanılması “tehdit aktörlerinin Drive’ı, e-postayla giriş yapma olanağını” ve OAuth bağlantılı diğer hizmetleri kullanmasına olanak tanıyacağını, bu da istismarın etkilenen kullanıcılar ve kuruluşlar üzerinde “çok ciddi bir etkiye” sahip olabileceği anlamına geliyor CloudSEK’in tehdit araştırmacısı Bilgi Güvenliği Medya Grubu’na şunları söyledi:
“Eğer virüs bulaşırsa, Google hesapları kötü amaçlı bir altyapının parçası olacak şekilde kötüye kullanılabilir” dedi ve tehdit aktörlerinin bu açıktan yararlanarak kötü amaçlı içeriği çevrimiçi yayınlamak, akış hizmetlerini kötüye kullanmak ve “Google’a bağlı her şeye” erişmek için kullanabileceğini ekledi.