Hàng loạt các phương thức tấn công mới có thể đã bị khai thác để tiến hành tấn công mã độc tống tiền, đánh cắp dữ liệu và khôi phục mật khẩu trên nền tảng Google Workspace và Google Cloud Platform.
Giám đốc Giải pháp Kỹ thuật tại Bitdefender – Martin Zugec cho biết, từ một máy tính bị xâm nhập ban đầu, kẻ tấn công có thể phát triển cuộc tấn công theo nhiều cách: chúng có thể di chuyển sang các máy nhân bản khác đã cài đặt GCPW, giành quyền truy cập vào nền tảng đám mây với các quyền tùy chỉnh hoặc giải mã mật khẩu được lưu trữ cục bộ để tiếp tục tấn công ngoài hệ sinh thái Google. Chính vì điều kiện tiên quyết cho những cuộc tấn công này là quyền truy cập ban đầu vào một máy tính cục bộ thông qua các phương thức/phương tiện khác, Google đã đánh dấu lỗi này là không đủ điều kiện để vá “vì nó nằm ngoài mô hình mối đe dọa và hành vi này tuân thủ chính sách lưu trữ dữ liệu cục bộ của Chrome.”
Tóm lại, những cuộc tấn công này dựa trên việc tổ chức sử dụng Google Credential Provider for Windows (GCPW) – cung cấp cả khả năng quản lý thiết bị di động (MDM) và đăng nhập một lần (SSO). Điều này cho phép quản trị viên quản lý và điều khiển từ xa các thiết bị Windows trong môi trường Google Workspace của họ, cũng như cho phép người dùng truy cập vào thiết bị Windows của mình bằng chính thông tin xác thực được dùng để đăng nhập vào tài khoản Google.
GCPW được thiết kế để sử dụng một tài khoản dịch vụ có đặc quyền cục bộ tên là Google Accounts and ID Administration (GAIA) nhằm hỗ trợ quá trình nền bằng cách kết nối với API Google để xác minh thông tin đăng nhập của người dùng khi đăng nhập và lưu trữ một mã thông báo để tránh phải xác thực lại. Với thiết lập này, kẻ tấn công có quyền truy cập vào máy bị xâm nhập có thể trích xuất mã thông báo OAuth của tài khoản từ registry hoặc từ thư mục hồ sơ Chrome của người dùng và vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA).
Cách khai thác thứ hai liên quan đến Golden Image lateral movement, tập trung vào triển khai máy ảo (VM) và lợi dụng thực tế rằng việc tạo máy bằng cách nhân bản máy khác có cài đặt sẵn GCPW dẫn đến việc mật khẩu liên kết với tài khoản GAIA cũng bị nhân bản.
Cách khai thác thứ ba đòi hỏi quyền truy cập vào thông tin xác thực dạng văn bản bằng cách tận dụng mã thông báo có được từ kỹ thuật đã nói ở trên để gửi yêu cầu HTTP GET đến thiết bị cuối và lấy khóa bí mật RSA. Việc có quyền truy cập vào thông tin xác thực dạng văn bản – chẳng hạn như tên đăng nhập và mật khẩu, là mối đe dọa nghiêm trọng hơn vì nó cho phép kẻ tấn công giả mạo trực tiếp người dùng hợp pháp và có quyền truy cập không hạn chế vào tài khoản của họ, từ đó dẫn đến chiếm đoạt tài khoản hoàn toàn.
Nguồn: The Hacker News