“Eksploitasi memungkinkan akun Google dibajak, bahkan setelah kata sandi diubah” – Komputer – Berita

Perusahaan keamanan Hudson Rock dan CloudSek memperingatkan tentang kerentanan zero-day yang memungkinkan pemulihan cookie sesi yang kedaluwarsa dari akun Google Chrome. Hal ini memungkinkan penyerang untuk mengakses akun tersebut bahkan setelah pengguna mengubah kata sandinya.

Ada beberapa keluarga malware yang beredar yang dapat mengeksploitasi protokol otorisasi OAuth2 Batu Hudson Dan CloudSek. Hal ini memungkinkan untuk terus membuat ulang cookie sesi sebelumnya yang valid. Cookies ini berisi informasi autentikasi dan memungkinkan pengguna untuk login secara otomatis ke situs web dan layanan, tanpa harus memasukkan detailnya setiap saat. Cookies ini biasanya hanya dimaksudkan untuk tersedia sementara dan tidak akan berfungsi lagi jika pengguna mengubah detail loginnya. Namun, dengan eksploitasi ini, setelah penyerang mendapatkan akses ke akun Google Chrome, mereka dapat terus mendapatkan akses tidak sah bahkan setelah pengguna mengubah sandi, logout, atau setelah sesi berakhir.

Tim peneliti menemukan eksploitasi tersebut pada malware Infostealer Lumma bulan lalu. Akibatnya, mereka menemukan bahwa kerentanan ada di titik akhir Google oAuth MultiLogin. Dengan menggunakan mekanisme ini, akun Google dari beberapa layanan disinkronkan satu sama lain menggunakan vektor ID akun dan token login. Jika Infostealer diinstal pada desktop Anda, malware ini dapat mengeksploitasi titik akhir dengan memfilter token dan ID-nya. Mereka kemudian dapat didekripsi menggunakan kunci enkripsi yang disimpan dalam file negara lokal Chrome. Dengan menggunakan ID dan token akun, dimungkinkan untuk mengirim permintaan ke MultiLogin API yang melaluinya cookie sesi dapat dibuat ulang.

CloudSek merekayasa balik eksploitasi tersebut dan dapat menggunakannya sendiri untuk memulihkan cookie yang kedaluwarsa, kata perusahaan keamanan tersebut Ke komputer yang sedang tidur. Perusahaan menyatakan bahwa cookie hanya dapat dibuat ulang satu kali setelah mengubah kata sandi. Akses ke akun tidak dapat dipertahankan dalam waktu lama setelah kata sandi diubah.

Eksploitasi akan dieksploitasi secara aktif. Dan bukan hanya Lumma, kelompok malware lain juga dikatakan memanfaatkan kerentanan tersebut untuk keuntungan mereka. Dilaporkan setidaknya ada enam kelompok yang berupaya memperbaiki cookie Chrome sejauh ini. Google belum mengindikasikan bahwa mereka menyadari adanya kerentanan zero-day. Eksploitasinya belum ditutup pada saat penulisan.

Seorang peretas membagikan video di atas yang menunjukkan eksploitasi dengan perusahaan keamanan