數位風暴來襲 Google Workspace與雲端平台遭受攻擊
編譯/Cynthia
隨著科技發展,數位環境的安全性越受考驗。最近的研究顯示,駭客可能正在利用 Google Workspace 和 雲端平台(Cloud Platform)的弱點,發動勒索軟體攻擊、進行數據外洩,並試圖恢復密碼。讓我們深入了解這些新型攻擊手法,以確保我們的數位安全。
攻擊來勢洶洶,Google Workspace 新漏洞揭曉
攻擊者透過 Google憑證提供者Windows版(Windows Credential Provider for Windows,GCPW)的漏洞,從一部受感染的電腦開始,可以向多個方向擴散。無論是轉移到其他已安裝 GCPW 的複製機,取得雲端平台的自訂權限,或者解密本地儲存的密碼,都是攻擊者可能進一步採取的行動。
更多新聞:Google Workspace擴充AI安全功能 強化加密防外洩
雖然 Google 將此漏洞歸類為不在其威脅模型範圍內,但羅馬尼亞的網路安全公司警告,這有可能成為攻擊者擴大攻擊至整個網路的入口,因此我們應保持高度警覺。
GCPW 弱點詳解,突破限制的攻擊
攻擊的核心在於 GCPW 提供了移動設備管理(MDM)和單一登錄(SSO)功能。這意味著管理員可以透過 GCPW 在 Google Workspace 中,遠端管理和控制 Windows 設備,同時允許使用者使用相同的憑證登入Windows 設備。
攻擊者透過已感染的電腦,從 Windows 註冊表或用戶的 Chrome 設定目錄中提取帳戶的刷新 OAuth 密鑰,進而繞過多因素驗證(MFA)的保護,濫用刷新密鑰進行攻擊。這使得攻擊者能夠建立 HTTP POST 請求,取得訪問密鑰,進而檢索、操作或刪除與 Google 帳戶相關聯的敏感數據。
攻擊升級,Golden Image 側向移動
在攻擊的第二階段,稱為「Golden Image 側向移動」,專注於虛擬機器(VM)部署。這手法利用已裝有 GCPW 的機器進行複製,將與 GAIA 帳戶有關的密碼一併複製。簡單來說,如果你知道一個本地帳戶的密碼,那麼所有機器上的本地帳戶都共享相同的密碼,類似於 Microsoft 的本地管理員密碼解決方案(LAPS)。所以攻擊者透過這種手法,一旦知道一個帳戶的密碼,就能夠得知所有機器的密碼,進一步危害整個系統的安全性。
最後一擊,訪問明文憑證
攻擊的第三階段涉及訪問明文憑證。攻擊者使用前述技術獲取的訪問密鑰,向未記錄的 API 端點發送 HTTP GET 請求,以取得私有 RSA 密鑰,進而解鎖密碼字串。這使得攻擊者能夠直接冒充合法用戶,獲得對其帳戶的無限制訪問權限,可能導致帳戶完全被接管。
強化防護措施不可或缺
這些攻擊手法顯示對 Google Workspace 和雲端平台的潛在威脅。儘管 Google 將其視為不在威脅範圍內,實際風險卻可能引發廣泛的安全問題。企業應提高警覺,強化安全措施,保護敏感數據,並實施強化的身份驗證,以確保組織不成為攻擊者的目標。在數位安全上,絲毫不能馬虎,方能確保我們在數位世界中的安全。
資料來源:The Hacker News
瀏覽 690 次