Es ist eine besorgniserregende Enthüllung, dass mehrere Malware-Familien, die Informationen stehlen, einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“ ausnutzen, um abgelaufene Authentifizierungscookies wiederzubeleben und so unbefugten Zugriff auf die Google-Konten der Benutzer zu ermöglichen. Sitzungscookies haben eine begrenzte Lebensdauer und laufen in der Regel ab, um einen längeren unbefugten Zugriff zu verhindern.
Allerdings haben Bedrohungsakteure einen Zero-Day-Exploit entdeckt, der es ihnen ermöglicht, abgelaufene Google-Authentifizierungscookies neu zu generieren, selbst nachdem rechtmäßige Besitzer ihre Passwörter zurückgesetzt oder sich abgemeldet haben. Ein Bedrohungsakteur namens PRISMA hat den Exploit zunächst offengelegt und die Methode zur Wiederherstellung abgelaufener Cookies auf Telegram geteilt.
Werbung
CloudSEK-Forscher untersuchten die Angelegenheit weiter und stellten fest, dass der Exploit den „MultiLogin“-Endpunkt nutzt, der für die Synchronisierung von Konten über verschiedene Google-Dienste hinweg gedacht ist. Der missbrauchte API-Endpunkt, Teil der Gaia Auth API, akzeptiert einen Vektor aus Konto-IDs und Authentifizierungs-Login-Tokens und ermöglicht es Bedrohungsakteuren, wichtige Informationen für den dauerhaften Zugriff zu extrahieren.
Malware wie Lumma, Rhadamanthys, Stealc, Medusa und RisePro haben den Google OAuth-Endpunkt-Exploit bereits übernommen
Der Zero-Day-Exploit funktioniert durch das Extrahieren von Token und Konto-IDs aus Chrome-Profilen, die bei einem Google-Konto angemeldet sind. Zu den gestohlenen Informationen gehören der Dienst (GAIA-ID) und das verschlüsselte_Token. Mithilfe eines Verschlüsselungsschlüssels, der in der „Local State“-Datei von Chrome gespeichert ist, entschlüsseln Bedrohungsakteure die gestohlenen Token. Diese entschlüsselten Token, gepaart mit dem MultiLogin-Endpunkt, ermöglichen es Bedrohungsakteuren, abgelaufene Google-Service-Cookies neu zu generieren. Es kann effektiv den dauerhaften Zugriff auf kompromittierte Konten aufrechterhalten.
Bedrohungsakteure können das Authentifizierungs-Cookie nur einmal neu generieren, wenn ein Benutzer sein Google-Passwort zurücksetzt. Sie können es jedoch wiederholt neu generieren, wenn das Passwort unverändert bleibt. Bemerkenswert ist, dass mehrere Schadprogramme, die Informationen stehlen, diesen Exploit übernommen haben, darunter Lumma, Rhadamanthys, Stealc, Medusa, RisePro und Whitesnake. Diese Malware-Varianten behaupten, dass sie Google-Cookies mithilfe des API-Endpunkts neu generieren können. Es stellt eine erhebliche Bedrohung für die Sicherheit von Benutzerkonten dar.
Obwohl der Missbrauch aufgedeckt und nachgewiesen wurde, hat Google den Missbrauch des MultiLogin-Endpunkts nicht offiziell bestätigt. Die Situation gibt Anlass zur Sorge hinsichtlich des Ausmaßes der Ausbeutung und der mangelnden Bemühungen zur Schadensbegrenzung. Die Übernahme des Exploits durch mehrere Malware-Familien unterstreicht die dringende Notwendigkeit, dass Google diese Zero-Day-Schwachstelle angeht und patcht. Hier ist eine kurze Demonstration des Prozesses.
