Una recente ricerca condotta da Bitdefender ha rivelato nuove tecniche di attacco che mettono in pericolo la sicurezza di Google Workspace. In particolare, i nuovi metodi permettono agli attaccanti di compromettere un solo endpoint e poi scalare in tutta la rete, aprendo la strada ad attacchi ransomware o all'esfiltrazione di dati.
Bitdefender ha sviluppato un sensore XDR (Extended Detection and Response) specifico per Google Workspace e Google Cloud Platform. Durante questo sviluppo, sono emerse nuove metodologie di attacco che possono portare a una compromissione estesa dopo la violazione di un singolo endpoint.
Dunque, affinché l’attacco a Google Workspace sia possibile prima bisogna infettare una singola macchina, quella di un qualunque collaboratore. Dopodiché è possibile aumentare la portata e colpire tutta la rete Google Workspace collegata. Gli attacchi sfruttano delle falle identificate in Google Credential Provider for Windows e nel modo in cui questo strumento memorizza e (non) protegge i token di accesso.
Google Credential Provider for Windows
Il punto chiave si chiama Google Credential Provider for Windows (GCPW): si tratta di un componente software sviluppato da Google che serve per integrare l’ecosistema Google Workspace e Microsoft Windows.
GCPW viene usato, tra le altre cose, per gestire remotamente i dispositivi Windows senza la necessità di una connessione VPN o di una registrazione a un dominio. Un’altra funzione chiave di GCPW l’autenticazione Single Sign-On (SSO) al Sistema Operativo Windows - in sostanza permette di accedere a Windows usando le credenziali Google Workspace.
In sostanza, GCPW diventa un vettore di attacco che, una volta compromesso, può essere sfruttato per estendere le violazioni dalla singola macchina all'intera rete.
Metodi di attacco variegati
I possibili metodi di attacco sono più di uno
-
Golden Image Lateral Movement:
- Contesto: Questo scenario si verifica spesso in ambienti virtualizzati, come VDI o soluzioni DaaS, che coinvolgono la clonazione di macchine.
- Descrizione: Quando GCPW è installato su una macchina bersaglio, crea un account locale chiamato 'gaia' con una password casuale. La problematica sorge quando una macchina viene clonata con GCPW preinstallato, poiché anche la password viene clonata. Ciò significa che conoscendo la password di un account locale, si ottiene accesso a tutte le macchine che condividono la stessa password.
-
Richiesta Non Autorizzata di Token di Accesso:
- Contesto: GCPW memorizza un token di aggiornamento OAuth 2.0 nella sessione per evitare richieste di autenticazione ripetute.
- Descrizione: Se un attaccante ottiene accesso a questo token, può richiedere nuovi token di accesso con specifici permessi. Questo bypassa l'autenticazione a più fattori. Inoltre, il refresh token è anche memorizzato nel profilo di Google Chrome, permettendo questo attacco anche senza GCPW, utilizzando solo il browser.
-
Recupero Password:
- Contesto: GCPW salva la password dell'utente come segreto LSA cifrato.
- Descrizione: Combinando l'accesso a questo segreto con un accesso token precedentemente rubato, un attaccante può ottenere la password dell'utente. Questo è particolarmente critico perché fornisce un accesso diretto e non limitato alle credenziali dell'account dell'utente.
Queste metodologie di attacco, se sfruttate, consentono agli attaccanti di muoversi lateralmente all'interno di una rete compromessa, ottenendo accesso a macchine clonate, eludendo l'autenticazione a più fattori e recuperando le password utente.
Bitdefender ha divulgato queste scoperte a Google, che ha confermato di non avere piani per affrontare questi risultati, poiché non rientrano nel loro modello di minaccia specifico. Tuttavia, Bitdefender consiglia alle aziende di adottare un approccio di prevenzione alla sicurezza informatica e di implementare una strategia di sicurezza stratificata.
Per ulteriori dettagli sulla ricerca, si può consultare l'articolo completo su Bitdefender.