🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng GhostToken cho phép tin tặc ẩn các ứng dụng độc hại trong nền tảng Google Cloud

23/04/2023

Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về một lỗ hổng zero-day hiện đã được vá trong Google Cloud Platform (GCP) có thể cho phép các tác nhân đe dọa ẩn giấu ứng dụng độc hại, không thể xóa được, bên trong tài khoản Google của nạn nhân.

Được đặt tên là GhostToken bởi công ty bảo mật Astrix Security của Israel, lỗ hổng ảnh hưởng đến tất cả các tài khoản Google, bao gồm cả các tài khoản Workspace dành cho doanh nghiệp. Lỗ hổng được phát hiện và báo cáo cho Google vào ngày 19 tháng 6 năm 2022 và được công ty triển khai bản vá hơn 9 tháng sau đó vào ngày 7 tháng 4 năm 2023.

Astrix cho biết "lỗ hổng [...] cho phép kẻ tấn công có quyền truy cập vĩnh viễn vào tài khoản Google của nạn nhân bằng cách chuyển đổi một ứng dụng bên thứ ba đã được cấp phép thành ứng dụng trojan độc hại, khiến dữ liệu cá nhân của nạn nhân bị lộ mãi mãi".

Tóm lại, lỗ hổng cho phép kẻ tấn công ẩn ứng dụng độc hại của chúng khỏi trang quản lý ứng dụng tài khoản Google của nạn nhân, do đó có thể ngăn chặn người dùng thu hồi quyền truy cập của nó.

Điều này đạt được bằng cách xóa dự án GCP được liên kết với ứng dụng OAuth được ủy quyền, khiến dự án chuyển sang trạng thái "đang chờ xóa". Sau đó tác nhân đe dọa có thể làm hiển thị ứng dụng giả mạo bằng cách khôi phục dự án và sử dụng token truy cập để lấy dữ liệu của nạn nhân và làm cho nó ẩn đi một lần nữa.

"Nói cách khác, kẻ tấn công nắm giữ một token 'ma' (GhostToken) đối với tài khoản của nạn nhân," Astrix cho biết.

Loại dữ liệu có thể được truy cập tùy thuộc vào các quyền được cấp cho ứng dụng, kẻ tấn công có thể lạm dụng nó để xóa tệp khỏi Google Drive, tấn công social engineering bằng cách mạo danh nạn nhân để gửi email giả mạo, theo dõi vị trí và lấy cắp dữ liệu nhạy cảm khỏi Google Lịch, Drive, Ảnh và các ứng dụng khác.

Astrix cho biết thêm rằng: "Nạn nhân có thể vô tình cấp quyền truy cập cho các ứng dụng độc hại sau khi cài đặt một ứng dụng có vẻ vô hại từ Google Marketplace hoặc một công cụ có sẵn trực tuyến".

"Khi ứng dụng độc hại được cấp quyền truy cập, kẻ tấn công khai thác lỗ hổng có thể bỏ qua tính năng quản lý 'Ứng dụng có quyền truy cập vào tài khoản của bạn' của Google, đây là nơi duy nhất mà người dùng Google có thể xem các ứng dụng bên thứ ba đã kết nối với tài khoản của họ."

Bản vá của Google đã giải quyết vấn đề bằng cách hiển thị các ứng dụng đang ở trạng thái chờ xóa trên trang truy cập của bên thứ ba, cho phép người dùng thu hồi quyền đã cấp cho các ứng dụng đó.

Sự phát triển diễn ra khi Google Cloud đã vá một lỗ hổng leo thang đặc quyền trong API Kiểm kê tài sản trên cloud có tên là Asset Key Thief có thể bị khai thác để đánh cắp khóa bí mật của Tài khoản dịch vụ do người dùng quản lý và giành quyền truy cập vào dữ liệu có giá trị. Sự cố được SADA phát hiện vào đầu tháng 2 này và được Google vá vào ngày 14 tháng 3 năm 2023.

Nguồn: thehackernews.com.

scrolltop