Kritik Google Çerezlerinden yararlanma, hesaplara yetkisiz erişim elde etmek amacıyla kimlik doğrulama bilgilerini saklayan kullanıcı çerezlerinin manipüle edilmesini veya çalınmasını içerir.
Bilgisayar korsanları bu yasa dışı mekanizmayı şu amaçlarla kullanır: –
- Kullanıcıların kimliğine bürün
- Kaçak oturumlar
- Hassas bilgiler üzerinde kontrol sahibi olun
- Web sitelerine yetkisiz erişim sağlayın
- Uygulamalara yetkisiz erişim elde edin
PRISMA adlı bir geliştirici, Ekim 2023’te şifre sıfırlama sonrasında kalıcı erişime izin veren büyük bir Google çerez istismarı keşfetti. Bir tehdit aktörü daha sonra bunu Lumma Infostealer’a entegre ederek kötü amaçlı yazılım grupları arasında bir dalgalanma etkisi yarattı.
Cloudsek’teki siber güvenlik araştırmacıları kısa süre önce, tehdit aktörlerinin şifre sıfırlama sonrasında kalıcı olarak Google erişimi elde etmesine olanak tanıyan yeni bir kritik Google Çerezleri istismarını tespit etti.
Araştırmacılar bu kritik kusuru “HUMINT” kullanarak keşfetmiş ve açıktan yararlanmanın kökü “MultiLogin”de keşfedilmiş olsa da, bu, belgelenmemiş bir Google OAuth uç noktasıdır.
Google Çerezlerinden Yararlanma
20 Ekim 2023’te CloudSEK’ten XVigil, ‘PRISMA’nın Telegram’daki Google hesapları için güçlü bir 0 günlük çözümü ortaya çıkardığını buldu:
- Oturum Kalıcılığı: Güvenliği atlayarak şifre değişikliğinden sonra geçerli kalır.
- Çerez Üretimi: Kesintisiz erişim için geçerli çerezler oluşturur.
Kötü amaçlı yazılım, Chrome’un WebData token_service tablosunu hedefleyerek aşağıdakilerin çıkarılmasına yardımcı olur: –
Bunun yanı sıra, tabloda aşağıdakiler gibi önemli sütunlar bulunur: –
- GAIA Kimliği (hizmet)
- Şifrelenmiş_token
Şifre çözme, Chrome’un şifre şifrelemesini yansıtan “UserData dizininde” saklanan Yerel Durum şifreleme anahtarını kullanır.
Chromium’un kaynak kodu, Google hesapları için dahili bir senkronizasyon mekanizması olan MultiLogin uç noktasını ortaya koyuyor.
Tutarlı bir kullanıcı deneyimi için tarayıcı hesabı durumlarını Google’ın kimlik doğrulama çerezleriyle uyumlu hale getirir. Bunun yanı sıra, Google Dork’u kullanarak onu bulmak için birkaç girişimde bulunuldu, ancak hepsi başarısız oldu.
MultiLogin uç noktası, hesap kimliklerini ve kimlik doğrulama oturum açma jetonlarını kabul ederek eşzamanlı oturumları yönetir.
Google’ın OAuth sisteminin önemli bir parçası olan bu belgelenmemiş MultiLogin uç noktası, çerezlerin yeniden oluşturulmasına olanak tanır.
Lumma’nın gelişmiş yaklaşımı, tokenin (GAIA ID çifti) şifrelenmesini, istismarın kara kutuya alınmasını ve temel mekanizmalarına gizlilik eklenmesini içeriyor.
Kara boks iki amaca hizmet eder ve burada bunlardan bahsetmiştik: –
- İstismar Tekniğinin Korunması
- Tespitten Kaçınma
Lumma’nın gelişmiş istismarı, belirteci yönlendirir: GAIA Kimlik çifti, Google hizmetleri için sürekli çerez yenilenmesine olanak tanır. Parola sıfırlama sonrasında da devam etmesi endişe vericidir ve bu da şunları sağlar: –
- Uzun süreli hesap istismarı
- Fark edilmeyen hesap istismarı
Anahtar bileşenin şifrelenmesi, gelişmiş, gizlilik odaklı siber tehditlere doğru bir geçişin sinyalini vererek kötü amaçlı yazılım geliştirmede gizlilik ve istismar metodolojilerinin korunmasını vurguluyor.