Siber güvenlik araştırmacıları, Google Cloud Platform’da (GCP) artık yama uygulanmış olan ve tehdit aktörlerinin bir kurbanın Google hesabındaki kaldırılamaz, kötü amaçlı bir uygulamayı gizlemesine olanak sağlayabilecek sıfır gün açığının ayrıntılarını açıkladı.
19 Haziran 2022’de sorunu keşfedip Google’a bildiren İsrailli siber güvenlik şirketi Astrix Security, eksik olan GhostToken adını verdi.
Sorun, kurumsal odaklı Workspace hesapları da dahil olmak üzere tüm Google hesaplarını etkiledi. Google, dokuz aydan uzun bir süre sonra 7 Nisan 2023’te küresel bir yama yayınladı.
“Güvenlik açığı […] Astrix bir raporda, saldırganların zaten yetkilendirilmiş bir üçüncü taraf uygulamasını kötü amaçlı bir trojan uygulamasına dönüştürerek kurbanın Google hesabına kalıcı ve kaldırılamaz erişim elde etmesine olanak tanıyor, kurbanın kişisel verilerini sonsuza kadar açığa çıkarıyor” dedi.
Özetle, kusur, bir saldırganın kötü amaçlı uygulamasını kurbanın Google hesabı uygulama yönetimi sayfasından gizlemesini mümkün kılarak kullanıcıların erişimini iptal etmesini etkili bir şekilde önler.
Bu, yetkili OAuth uygulamasıyla ilişkili GCP projesinin silinmesi ve projenin “silinmeyi beklemede” durumuna geçmesiyle sağlanır. Bu yeteneğe sahip olan tehdit aktörü, daha sonra projeyi geri yükleyerek hileli uygulamayı gösterebilir ve kurbanın verilerini elde etmek için erişim belirtecini kullanabilir ve onu tekrar görünmez hale getirebilir.
Astrix, “Başka bir deyişle, saldırgan, kurbanın hesabında bir ‘hayalet’ jeton tutuyor” dedi.
Erişilebilecek verilerin türü, uygulamaya verilen izinlere bağlıdır; bu izinler, saldırganlar Google Drive’dan dosyaları silmek, kurban adına e-postalar yazmak, sosyal mühendislik saldırıları gerçekleştirmek, konumları izlemek ve Google’dan hassas verileri çalmak için kötüye kullanabilir. Takvim, Fotoğraflar ve Drive.
Astrix, “Kurbanlar, Google Marketplace’ten masum gibi görünen bir uygulamayı veya çevrimiçi olarak sunulan birçok üretkenlik aracından birini yükleyerek bilmeden bu tür kötü amaçlı uygulamalara erişim izni verebilir.”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
“Kötü amaçlı uygulama yetkilendirildikten sonra, güvenlik açığından yararlanan bir saldırgan, Google kullanıcılarının hesaplarına bağlı üçüncü taraf uygulamaları görüntüleyebildiği tek yer olan Google’ın “Hesabınıza erişimi olan uygulamalar” yönetim özelliğini atlayabilir.”
Google’ın yaması, artık silinmeyi bekleyen uygulamaları üçüncü taraf erişim sayfasında görüntüleyerek ve kullanıcıların bu tür uygulamalara verilen izni iptal etmesine olanak tanıyarak sorunu giderir.
Geliştirme, Google Cloud’un Cloud Asset Inventory API’de kullanıcı tarafından yönetilen Hizmet Hesabı özel anahtarlarını çalmak ve değerli verilere erişim elde etmek için kötüye kullanılabilecek Asset Key Thief adlı bir ayrıcalık yükseltme kusurunu düzeltmesiyle geldi. SADA tarafından bu Şubat ayı başlarında keşfedilen sorun, teknoloji devi tarafından 14 Mart 2023’te yamalandı.
Bulgular, bulut olay müdahale firması Mitiga’nın, rakiplerin hassas verileri sızdırmak için GCP’deki “yetersiz” adli tıp görünürlüğünden yararlanabileceğini açıklamasından bir aydan biraz daha uzun bir süre sonra geldi.