Siber Muhbir

Bitdefender teknik çözümler direktörü Martin Zugec, yeni bir raporda, "Güvenliği ihlal edilmiş tek bir makineden başlayarak, tehdit aktörleri çeşitli şekillerde ilerleyebilir: GCPW'nin yüklü olduğu diğer klonlanmış makinelere geçebilir, özel izinlerle bulut platformuna erişebilir veya saldırılarına Google ekosisteminin ötesinde devam etmek için yerel olarak depolanan şifrelerin şifresini çözebilirler" dedi.

Bu saldırılar için bir ön koşul, kötü aktörün başka yollarla yerel bir makineye zaten erişim kazanmış olması ve Google'ın hatayı "tehdit modelimizin dışında olduğu ve davranışın Chrome'un yerel verileri depolama uygulamalarıyla uyumlu olduğu için" düzeltilmeye uygun değil olarak işaretlemesini istemesidir.

Ancak Romen siber güvenlik firması, tehdit aktörlerinin tek bir uç nokta uzlaşmasını ağ çapında bir ihlale genişletmek için bu tür boşluklardan yararlanabileceği konusunda uyardı.

Saldırılar özetle, bir kuruluşun hem mobil cihaz yönetimi (MDM) hem de tek oturum açma (TOA) özellikleri sunan Windows için Google Kimlik Bilgisi Sağlayıcı'yı (GCPW) kullanmasına dayanır.

Bu, yöneticilerin Google Workspace ortamlarındaki Windows cihazlarını uzaktan yönetmesine ve kontrol etmesine olanak tanır ve kullanıcıların Google hesaplarına giriş yapmak için kullanılan kimlik bilgilerini kullanarak Windows cihazlarına erişmesine olanak tanır.

GCPW, oturum açma adımı sırasında kullanıcının kimlik bilgilerini doğrulamak için Google API'lerine bağlanarak ve yeniden kimlik doğrulama ihtiyacını ortadan kaldırmak için bir yenileme jetonu depolayarak arka planda süreci sorunsuz bir şekilde kolaylaştırmak için Google Hesapları ve Kimlik Yönetimi (GAIA) adlı yerel bir ayrıcalıklı hizmet hesabı kullanacak şekilde tasarlanmıştır.

Bu kurulum yapıldığında, güvenliği ihlal edilmiş bir makineye erişimi olan bir saldırgan, Windows kayıt defterinden veya kullanıcının Chrome profil dizininden bir hesabın yenileme OAuth jetonlarını çıkarabilir ve çok faktörlü kimlik doğrulama (MFA) korumalarını atlayabilir.

Yenileme belirteci daha sonra uç noktaya bir HTTP POST isteği oluşturmak için kullanılır "https://www.googleapis[.] com/oauth2/v4/token" seçeneğini kullanarak Google Hesabı ile ilişkili hassas verileri almak, değiştirmek veya silmek için kötüye kullanılabilecek bir erişim jetonu elde edebilirsiniz.

İkinci bir istismar, sanal makine (VM) dağıtımlarına odaklanan ve önceden yüklenmiş GCPW ile başka bir makineyi klonlayarak bir makine oluşturmanın GAIA hesabıyla ilişkili parolanın da klonlanmasına neden olduğu gerçeğinden yararlanan Altın Görüntü yanal hareketi olarak adlandırılan şeyle ilgilidir.

Zugec, "Yerel bir hesabın parolasını biliyorsanız ve tüm makinelerdeki yerel hesaplar aynı parolayı paylaşıyorsa, tüm makinelerin parolalarını biliyorsunuzdur" dedi.

"Bu paylaşılan parola sınaması, Microsoft'un Yerel Yönetici Parola Çözümü (LAPS) tarafından ele alınan tüm makinelerde aynı yerel yönetici parolasına sahip olmaya benzer."

Üçüncü saldırı, belgelenmemiş bir API uç noktasına bir HTTP GET isteği göndermek ve parola alanının şifresini çözmek için gereken özel RSA anahtarını ele geçirmek için yukarıda belirtilen teknik kullanılarak elde edilen erişim belirtecinden yararlanarak düz metin kimlik bilgilerine erişim gerektirir.

Zugec, "Kullanıcı adları ve şifreler gibi düz metin kimlik bilgilerine erişim, daha ciddi bir tehdidi temsil ediyor" dedi. "Bunun nedeni, saldırganların doğrudan meşru kullanıcıların kimliğine bürünmelerine ve hesaplarına sınırsız erişim elde etmelerine olanak tanıyarak potansiyel olarak hesabın tamamen ele geçirilmesine yol açmasıdır."