數位風暴來襲　Google Workspace與雲端平台遭受攻擊

編譯／Cynthia

隨著科技發展，數位環境的安全性越受考驗。最近的研究顯示，駭客可能正在利用 Google Workspace 和 雲端平台（Cloud Platform）的弱點，發動勒索軟體攻擊、進行數據外洩，並試圖恢復密碼。讓我們深入了解這些新型攻擊手法，以確保我們的數位安全。

攻擊來勢洶洶，Google Workspace 新漏洞揭曉

攻擊者透過 Google憑證提供者Windows版（Windows Credential Provider for Windows，GCPW）的漏洞，從一部受感染的電腦開始，可以向多個方向擴散。無論是轉移到其他已安裝 GCPW 的複製機，取得雲端平台的自訂權限，或者解密本地儲存的密碼，都是攻擊者可能進一步採取的行動。

更多新聞：Google Workspace擴充AI安全功能　強化加密防外洩

雖然 Google 將此漏洞歸類為不在其威脅模型範圍內，但羅馬尼亞的網路安全公司警告，這有可能成為攻擊者擴大攻擊至整個網路的入口，因此我們應保持高度警覺。

GCPW 弱點詳解，突破限制的攻擊

攻擊的核心在於 GCPW 提供了移動設備管理（MDM）和單一登錄（SSO）功能。這意味著管理員可以透過 GCPW 在 Google Workspace 中，遠端管理和控制 Windows 設備，同時允許使用者使用相同的憑證登入Windows 設備。

攻擊者透過已感染的電腦，從 Windows 註冊表或用戶的 Chrome 設定目錄中提取帳戶的刷新 OAuth 密鑰，進而繞過多因素驗證（MFA）的保護，濫用刷新密鑰進行攻擊。這使得攻擊者能夠建立 HTTP POST 請求，取得訪問密鑰，進而檢索、操作或刪除與 Google 帳戶相關聯的敏感數據。

攻擊升級，Golden Image 側向移動

在攻擊的第二階段，稱為「Golden Image 側向移動」，專注於虛擬機器（VM）部署。這手法利用已裝有 GCPW 的機器進行複製，將與 GAIA 帳戶有關的密碼一併複製。簡單來說，如果你知道一個本地帳戶的密碼，那麼所有機器上的本地帳戶都共享相同的密碼，類似於 Microsoft 的本地管理員密碼解決方案（LAPS）。所以攻擊者透過這種手法，一旦知道一個帳戶的密碼，就能夠得知所有機器的密碼，進一步危害整個系統的安全性。

最後一擊，訪問明文憑證

攻擊的第三階段涉及訪問明文憑證。攻擊者使用前述技術獲取的訪問密鑰，向未記錄的 API 端點發送 HTTP GET 請求，以取得私有 RSA 密鑰，進而解鎖密碼字串。這使得攻擊者能夠直接冒充合法用戶，獲得對其帳戶的無限制訪問權限，可能導致帳戶完全被接管。

強化防護措施不可或缺

這些攻擊手法顯示對 Google Workspace 和雲端平台的潛在威脅。儘管 Google 將其視為不在威脅範圍內，實際風險卻可能引發廣泛的安全問題。企業應提高警覺，強化安全措施，保護敏感數據，並實施強化的身份驗證，以確保組織不成為攻擊者的目標。在數位安全上，絲毫不能馬虎，方能確保我們在數位世界中的安全。

資料來源：The Hacker News

瀏覽 685 次