Αρκετά
στελέχη κακόβουλου λογισμικού που κλέβουν πληροφορίες
εκμεταλλεύονται ενεργά ένα μη τεκμηριωμένο τελικό σημείο Google OAuth που ονομάζεται MultiLogin για να αναλάβει
Λογαριασμοί Google
ακόμα και μετά από
επα
ναφορά κωδικού πρόσβασης.
Όπως αναφέρεται από
BleepingComputer
αυτό το exploit επιτρέπει σε ορισμένα στελέχη κακόβουλου λογισμικού να επαναφέρουν cookie ελέγχου ταυτότητας που έχουν λήξει, τα οποία στη συνέχεια χρησιμοποιούνται για τη σύνδεση στους λογαριασμούς Google των θυμάτων.
Από τα διάφορα cookie προγράμματος περιήγησης που χρησιμοποιούνται στον Ιστό,
cookies συνεδρίας
είναι ένας ειδικός τύπος cookie που περιέχει πληροφορίες ελέγχου ταυτότητας. Εάν έχετε ποτέ ανοίξει το πρόγραμμα περιήγησής σας και μεταβείτε απευθείας σε έναν ιστότοπο στον οποίο είχατε συνδεθεί προηγουμένως, αυτό γίνεται με τη χρήση cookie περιόδου λειτουργίας. Ωστόσο, αυτοί οι τύποι cookies έχουν σχεδιαστεί για να έχουν μικρή διάρκεια
ζωή
ς πριν λήξουν, ώστε να μην μπορούν να χρησιμοποιηθούν από χάκερ για να συνδεθείτε επ’ αόριστον σε κλεμμένους λογαριασμούς.
Τον Νοέμβριο του περασμένου έτους, οι κυβερνοεγκληματίες πίσω από το
Λούμα
και
Ραδάμανθυς
Τα στελέχη κακόβουλου λογισμικού κλοπής πληροφοριών ισχυρίστηκαν ότι ήταν σε θέση να επαναφέρουν ληγμένα cookie ελέγχου ταυτότητας Google που είχαν κλαπεί σε κυβερνοεπιθέσεις. Ωστόσο, με αυτά τα cookie στα χέρια, ένας χάκερ μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στον Λογαριασμό σας Google ακόμη και αφού αποσυνδεθείτε, επαναφέρετε τον κωδικό πρόσβασής σας ή λήξει η περίοδος λειτουργίας του.
Επαναφορά ληγμένων cookie ελέγχου ταυτότητας Google
Σε μια προσπάθεια να εξηγηθεί καλύτερα πώς χρησιμοποιούν οι χάκερ αυτό το νέο
zero-day exploit
η εταιρεία κυβερνοασφάλειας
CloudSEK
έχει κυκλοφορήσει α
νέα έκθεση
.
Στην έκθεση, οι ερευνητές της εταιρείας εξηγούν ότι η εκμετάλλευση αποκαλύφθηκε για πρώτη φορά από έναν παράγοντα απειλών που ονομάζεται PRISMA σε μια
Τηλεγράφημα
ανάρτηση τον περασμένο Οκτώβριο. Στην ανάρτηση, εξήγησαν ότι βρήκαν έναν τρόπο να επαναφέρουν τα cookie ελέγχου ταυτότητας της Google που είχαν λήξει.
Από εδώ, το CloudSEK στη συνέχεια αναθεώρησε το exploit που οδήγησε στην ανακάλυψη ότι χρησιμοποιεί ένα μη τεκμηριωμένο τελικό σημείο Google OAuth με το όνομα MultiLogin το οποίο χρησιμοποιείται για το συγχρονισμό λογαριασμών σε διάφορες υπηρεσίες Google.
Με την κατάχρηση αυτού του τελικού σημείου, το κακόβουλο λογισμικό κλοπής πληροφοριών μπορεί να εξάγει διακριτικά και αναγνωριστικά λογαριασμών από προφίλ Chrome που είναι συνδεδεμένα σε έναν λογαριασμό Google. Μέσα σε αυτές τις κλεμμένες πληροφορίες, υπάρχουν δύο κρίσιμα κομμάτια δεδομένων: ένα αναγνωριστικό GAIA και κρυπτογραφημένα διακριτικά. Αυτά τα κρυπτογραφημένα διακριτικά αποκρυπτογραφούνται χρησιμοποιώντας μια κρυπτογράφηση που είναι αποθηκευμένη στο αρχείο “Τοπική κατάσταση” του Chrome και αυτό το κλειδί κρυπτογράφησης μπορεί επίσης να χρησιμοποιηθεί για την αποκρυπτογράφηση τυχόν αποθηκευμένων κωδικών πρόσβασης στο πρόγραμμα περιήγησης ενός θύματος.
Χρησιμοποιώντας τα κλεμμένα διακριτικά και το τελικό σημείο MultiLogin της Google, οι χάκερ μπορούν να δημιουργήσουν εκ νέου cookie της υπηρεσίας Google που έχουν λήξει και να διατηρήσουν μόνιμη πρόσβαση σε παραβιασμένους λογαριασμούς. Αξίζει ωστόσο να σημειωθεί ότι ένα cookie ελέγχου ταυτότητας μπορεί να αναδημιουργηθεί μόνο μία φορά εάν ένας χρήστης επαναφέρει τον κωδικό πρόσβασής του στο Google. Εάν δεν το κάνουν όμως, μπορεί να αναγεννηθεί πολλές φορές.
Πώς να παραμείνετε ασφαλείς από επιθέσεις που εκμεταλλεύονται αυτό το ελάττωμα του zero-day
(Πίστωση εικόνας: Shutterstock)
Ευτυχώς, η Google γνωρίζει αυτό το ζήτημα και σε δήλωση προς
Τα Νέα των Χάκερ
ένας εκ
πρόσωπο
ς της εταιρείας έδωσε περισσότερες λεπτομέρειες μαζί με μερικές συμβουλές για το πώς οι χρήστες μπορούν να προστατευτούν κατά τη χρήση του Chrome.
Η κλοπή cookies και διακριτικών συνεδρίας δεν είναι κάτι καινούργιο και, όπως επισημαίνει ο γίγαντας της αναζήτησης, «έχει λάβει μέτρα για να ασφαλίσει τυχόν παραβιασμένους λογαριασμούς που εντοπίστηκαν». Ομοίως, ο εκπρόσωπος της Google επισημαίνει ότι «απλά η έξοδος από το επηρεαζόμενο πρόγραμμα περιήγησης» θα ανακαλέσει τα cookie περιόδου λειτουργίας ενός χρήστη. Ταυτόχρονα, η εταιρεία συνιστά στους χρήστες να ενεργοποιούν
Βελτιωμένη Ασφαλής Περιήγηση
στο Chrome για πρόσθετη προστασία από κακόβουλο λογισμικό και
επιθέσεις phishing
.
Θα πρέπει επίσης να αλλάζετε τακτικά τον κωδικό πρόσβασης Google για να προστατεύετε τον λογαριασμό σας από χάκερ. Εάν δυσκολεύεστε να βρείτε νέους κωδικούς πρόσβασης, α
γεννήτρια κωδικών πρόσβασης
μπορεί να βοηθήσει και όλα τα
καλύτεροι διαχειριστές κωδικών πρόσβασης
προσφέρουν επίσης αυτή τη δυνατότητα. Όσον αφορά την προστασία του εαυτού σας και των συσκευών σας από κακόβουλο λογισμικό και χάκερ, θα πρέπει να χρησιμοποιείτε το
καλύτερο λογισμικό προστασίας από ιούς
στον
υπολογιστή
σας, το
το καλύτερο λογισμικό προστασίας από ιούς Mac
στους υπολογιστές σας Apple και σε έναν από τους
καλύτερες εφαρμογές προστασίας από ιούς Android
στο Android smartphone σας.
Τώρα που οι χάκερ έχουν καταλάβει πώς να προσθέσουν τη δυνατότητα επαναφοράς των cookie περιόδου λειτουργίας στο κακόβουλο λογισμικό τους, αναμένετε περισσότερα στελέχη κακόβουλου λογισμικού να υιοθετήσουν αυτήν τη λειτουργία καθώς η Google εργάζεται για να καταπολεμήσει την κλοπή cookie και token στο Chrome.
Περισσότερα από το Tom’s Guide
VIA:
TomsGuide.com
