İsrailli bir siber güvenlik şirketi olan Astrix’s Security Research Group, 19 Haziran 2022’de Google’ın Bulut Platformunda (GCP) Ghosttoken adlı ve tüm Google kullanıcılarını etkileyen 0 günlük bir güvenlik açığı keşfetti.
“GhostToken” güvenlik açığı, tehdit aktörlerinin kötü niyetli bir uygulamayı “görünmez ve kaldırılamaz” hale getirmesini sağlayabilir ve sonuç olarak kurbanın Google hesabına kalıcı olarak bir truva atı uygulaması bulaşmış hale getirebilir.
7 Nisan 2023’te Google, GhostToken güvenlik açığı için resmi olarak bir yama yayınladı. Kötü amaçlı uygulamalar, yetkilendirildikten ve Google hesabına erişim sağlayan bir OAuth jetonuna bağlandıktan sonra saldırganlar tarafından görünmez hale getirilebilir.
Saldırganlar, GhostToken güvenlik açığını kullanarak kötü niyetli uygulamalarını kurbanın Google hesabı uygulama yönetimi sayfasından gizleyebilir.
İstismar, kötü amaçlı uygulamayı Google hesabından kaldırılamaz hale getirir. Saldırgan, kurbanın hesabında bir “hayalet” token tutar.
Astrix Security araştırmacıları, “Google kullanıcılarının uygulamalarını görebileceği ve erişimlerini iptal edebileceği tek yer burası olduğundan, istismar, kötü amaçlı uygulamayı Google hesabından kaldırılamaz hale getiriyor” dedi.
“Uygulama kurbanın görüş alanından tamamen gizlendiği için, hesaplarının risk altında olduğunu bilmeleri bile engelleniyor ve bundan şüphelenseler bile yepyeni bir Google hesabı oluşturmaktan başka bir şey yapamıyorlar. ”
GhostToken nasıl kullanılır?
Araştırmacılar, saldırganların kurbanın özel Gmail mesajlarını okuyabileceğini, Google Drive ve Google Fotoğraflar’daki dosyalarına erişebileceğini, Google takvimlerinde yaklaşan etkinlikleri görüntüleyebileceğini, Google Haritalar’ı kullanarak onları bulabileceğini ve kurbanın Google Cloud Platform hizmetlerine erişim sağlayabileceğini söylüyor. kurbanların kötü amaçlı uygulamaya verdiği izinler.
En kötü senaryoda, saldırganlar Google Drive’dan dosya kaldırabilir, sosyal mühendislik saldırıları gerçekleştirmek için kurbanın Gmail hesabından e-postalar gönderebilir, Google Takvim, Fotoğraflar veya Dokümanlar’dan hassas verileri çalabilir ve daha fazlasını yapabilir.
Özellikle saldırganların, kurbanlar tarafından yetkilendirilen kötü amaçlı uygulamaları gizlemek için “beklemede silinme” durumuna getirmek için ilgili GCP projesini silmeleri yeterliydi.
Ancak, projenin geri yüklenmesinin ardından, kurbanların verilerine erişmek için yeni bir erişim belirteci almaları için onlara bir yenileme belirteci verilecek.
Bu eylemler, saldırganların kötü amaçlı uygulamayı gizlemek için kurbanın verilerine her erişmeleri gerektiğinde GCP projesini silmesine ve geri yüklemesine olanak tanıyacak şekilde sonsuz kez gerçekleştirilebilir.
GhostToken Saldırı Akışı
Google’ın yamasının yardımıyla, “silinmeyi bekliyor” durumundaki GCP OAuth uygulamaları artık kullanıcılar tarafından “Hesabınıza erişimi olan uygulamalar” sayfasından kaldırılabilir ve böylece hesap ele geçirme girişimleri önlenebilir.
Astrix, Google kullanıcılarına, yalnızca çalışması için gereken izinlere sahip olduklarından emin olmak için “hesaplarının uygulama yönetimi sayfasında” tüm yetkili üçüncü taraf uygulamalarını kontrol etmelerini tavsiye eder.
Araştırmacılar, “Günümüzün sıradan saldırılar, karmaşık tehdit senaryoları ve katlanarak artan saldırı yüzeyleri dünyasında, gereksiz, kullanılmayan veya aşırı ayrıcalıklı 3. taraf erişimini temizleyen rutin güvenlik kontrolleri GhostToken benzeri güvenlik açıklarını da aramalıdır” diyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin