Уязвимость аутентификации Google Workspace сделала уязвимыми тысячи аккаунтов

Тысячи аккаунтов были раскрыты после того, как хакеры использовали существующие адреса электронной почты для создания учетных записей Google Workspace и обошли процесс проверки.

По данным Google, «специально сконструированный запрос» мог открыть учетную запись Workspace без проверки адреса электронной почты. Это означало, что злоумышленникам требовался только адрес электронной почты желаемой цели, чтобы выдать себя за нее.

Хотя ни одна из поддельных учетных записей не использовалась для злоупотребления сервисами Google, такими как Gmail или Docs, они использовались для доступа к сторонним сервисам через функцию «Войти через Google».

Один из затронутых пользователей, поделившийся своим опытом на форуме сообщества Google Cloud, получил от Google уведомление о том, что кто-то создал учетную запись Workspace с его адресом электронной почты без подтверждения, а затем использовал ее для входа в Dropbox.

Представитель Google сообщил TechRepublic: «В конце июня мы оперативно решили проблему злоупотребления аккаунтом, затронувшую небольшую подгруппу учетных записей электронной почты. Мы проводим тщательный анализ, но пока не нашли никаких доказательств дополнительных злоупотреблений в экосистеме Google».

Ошибка проверки была ограничена учетными записями Workspace с подтвержденным адресом электронной почты, поэтому она не затронула другие типы пользователей, например учетные записи с подтвержденным доменом.

Ану Ямунан, директор по защите от злоупотреблений и безопасности в Google Workspace, рассказал Krebs on Security, что вредоносная активность началась в конце июня и было обнаружено «несколько тысяч» непроверенных учетных записей Workspace. Однако комментаторы этой истории и Hacker News утверждают, что атаки на самом деле начались в начале июня.

В своем сообщении, отправленном на затронутые адреса электронной почты, компания Google заявила, что устранила уязвимость в течение 72 часов с момента ее обнаружения и что с тех пор компания добавила «дополнительные процессы обнаружения», чтобы гарантировать, что она не повторится.

Как злоумышленники использовали аккаунты Google Workspace

Лица, которые регистрируются для учетной записи Google Workspace, получают доступ к ограниченному числу ее услуг, таких как Docs, действующей в качестве бесплатной пробной версии. Эта пробная версия закончится через 14 дней, если они не подтвердят свой адрес электронной почты, который обеспечивает полный доступ к Workspace.

Однако уязвимость позволила злоумышленникам получить доступ ко всему пакету, включая Gmail и доменозависимые сервисы, без проверки.

«Тактика здесь заключалась в создании специально сконструированного запроса злоумышленником, чтобы обойти проверку электронной почты во время процесса регистрации», — сказал Ямунан Krebs on Security. «Вектор здесь в том, что они использовали один адрес электронной почты, чтобы попытаться войти, и совершенно другой адрес электронной почты для проверки токена.

«После подтверждения адреса электронной почты в некоторых случаях мы видели, как они получали доступ к сторонним сервисам, используя систему единого входа Google».

Исправление, внедренное Google, не позволяет злоумышленникам повторно использовать токен, сгенерированный для одного адреса электронной почты, для проверки другого адреса.

Пострадавшие пользователи раскритиковали предлагаемый Google пробный период, заявив, что те, кто пытается открыть учетную запись Workspace, используя адрес электронной почты с пользовательским доменом, не должны иметь никакого доступа, пока не подтвердят право собственности на домен.

СМОТРИТЕ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать

Это не первый случай нарушения безопасности Google Workspace за последний год.

В декабре исследователи кибербезопасности выявили уязвимость DeleFriend, которая позволяет злоумышленникам использовать повышение привилегий для получения доступа Super Admin. Однако анонимный представитель Google сообщил The Hacker News, что это не является «базовой проблемой безопасности в наших продуктах».

В ноябре отчет Bitdefender раскрыл несколько уязвимостей в Workspace, связанных с Google Credential Provider для Windows, которые могут привести к атакам с целью вымогательства, эксфильтрации данных и краже паролей. Google снова оспорила эти выводы, заявив исследователям, что не планирует их устранять, поскольку они выходят за рамки их конкретной модели угроз.