Google Workspace の新たな脆弱性が研究者によって明らかにされ、これを悪用されると、ランサムウェア攻撃、データの流出、パスワードの解読につながる可能性があります。
Bitdefenderの研究者らは、この手法はカスタム権限でGoogle Cloud Platform(GCP)にアクセスするためにも使用され、マシンからマシンへと移動する可能性があると述べている。
情報セキュリティ担当者らは、Google 社から、これらの脆弱性は同社の脅威モデルの範囲外であるため対処されず、セキュリティ修正も行われないと告げられたと述べている。
本日 Bitdefender が指摘したような、侵害を受けたローカルマシンに依存する脆弱性は、マルウェアなどの方法による侵害は組織の既存のセキュリティ管理でカバーされるはずなので、Google 固有のバグとは見なされません。
Google はまた、脆弱性開示プロセス中に研究者に対し、データ保存の動作は Chrome の意図された動作と一致していると伝えた。
Bitdefenderは、これを軽視すべきではなく、同社の調査で指摘された脆弱性は実際に悪用される可能性があると述べている。「脅威アクターは、こうしたセキュリティの隙間を探し出し、悪用することが多い」と報告書には記されている。
Windows組織
攻撃は、モバイル デバイス管理 (MDM) とシングル サインオン (SSO) 機能を提供する Windows 用 Google 認証情報プロバイダ (GCPW) を組織が使用しているかどうかにかかっています。
GCPW がマシンにインストールされると、昇格された権限を持つローカルの Google アカウントおよび ID 管理(GAIA)アカウントが作成されます。その後、GCPW は Windows のローカル セキュリティ機関サブシステム サービス(LSASS)に認証情報プロバイダを追加し、ユーザーが Workspace 認証情報を使用して Windows マシンにログインできるようにします。
GAIA は、GCPW を使用して認証する新規ユーザーに対して新しいローカルアカウントを作成し、そのローカルアカウントを Workspace アカウントに関連付けます。ローカルアカウントには、Google API へのアクセスを維持するためのリフレッシュトークンも保存されるため、継続的な再認証は不要になります。
アクセストークンを生成し、MFAをバイパスする
MFA バイパスの前にローカルの侵害が発生する必要があるにもかかわらず、後で連鎖してプレーンテキストのパスワードを盗むことができることを考えると、この脆弱性は注目に値します。
攻撃者は、アカウントの更新トークンを、トークンの有効期限に応じて2つの異なる場所で盗むことができます。トークンは作成されると、まずWindowsのレジストリ値に一時的に保存され、CryptProtectData関数を使用して暗号化されます。その後、ユーザーのChromeプロファイルに永続的に保存されます。
どちらの場所でも復号が可能です。Windowsレジストリでは、Mimikatzのような悪用されやすいツールを使用するか、CryptUnprotectData関数を呼び出すことでリフレッシュトークンを復号できます。Bitdefenderによると、これはよりステルス性の高い手法ですが、レジストリ内ではより短い期間しか利用できません。
Chromeプロファイルに保存された後に復号化する場合は逆のことが当てはまります。保存期間が長くなるため、ファイルの保存場所に関する確実性は高まりますが、ノイズが多くなり、検出される可能性が高まります。
その後、特別に細工されたPOSTリクエストを介して攻撃者にトークンが発行され、攻撃者はトークンのスコープ内のあらゆるサービスへのアクセス権限を付与されます。GmailやGoogleドライブなどのサービスからデータを盗み出すことはもちろん、その他様々な不正行為が可能になります。
Bitdefender 社は、組織内のすべてのユーザーのすべての電子メールとファイルを盗み出すことができる Vault API が悪用される「興味深い」サービスであると述べている。
何らかの理由で攻撃者がトークンを抽出できなかった場合、トークン ハンドルの値を無効な値または null 値に変更することで、再認証を強制できます。
平文パスワードの回復
認証バイパスの脆弱性を利用すると、攻撃者はユーザーのパスワードを解読するために必要な RSA キーを取得することができ、これは調査で「より深刻な」脆弱性であると Bitdefender は述べています。
「アクセストークンが盗まれると、攻撃者がトークンの権限で定義された範囲内で限定的なアクセスを行えるようになるため、セキュリティリスクが生じます」と報告書は述べています。「これらのトークンは、多くの場合、期限が定められており、特定のスコープ制限が設けられています。」
一方、ユーザー名やパスワードなどの平文の認証情報へのアクセスは、より深刻な脅威となります。これは、攻撃者が正当なユーザーになりすまし、アカウントに無制限にアクセスできるようになるため、アカウントの乗っ取りにつながる可能性があるためです。
攻撃者は、以前のエクスプロイトを使用して、OAuth スコープを持つ新しいアクセス トークンを生成し、特定の文書化されていない API エンドポイントに GET リクエストを送信して、必要な RSA キーを取得する可能性があります。
横方向の移動
横方向の移動のエクスプロイトは主に仮想マシン (VM) の展開に適用され、VM のクローン作成という一般的な手法が使用されます。
GCPW が新しいマシンにインストールされるときに作成される GAIA アカウントは常に一意のパスワードを生成しますが、そのマシンが別のマシンの複製によって作成された場合、すべてのマシンのパスワードは同じになります。
複数のマシンが別のマシンから複製されているシナリオでは、攻撃者がそれらのマシンのうちの 1 台の資格情報を取得するだけで、それらのマシンを通過できる可能性があります。
「VM のクローン作成は、特に VDI や RDP の導入などの特定のシナリオでは非常に一般的です」と、Bitdefender のテクニカル ソリューション ディレクターの Martin Zugec 氏はThe Registerに語った。
- Google、GmailのベーシックHTML版を2024年1月に廃止へ
- Google は、Meet、Chat など Workspace のより多くの部分に Duet AI ボットを導入すると警告しています。
- マルウェアローダーの内幕:今年これまでの攻撃の80%を占める3大マルウェア
- ランサムウェア集団が集結し、Citrix Bleedの「大規模攻撃」が進行中
単一イメージ管理を推進するあらゆるソリューションは、この攻撃手法の影響を受けます。この脆弱性は現在特に深刻であり、LockBitのような脅威アクターはCitrixBleedを積極的に悪用し、リモートデスクトップソリューションを通じてネットワークへの不正アクセスを取得しています。
単一イメージ管理の魅力は、VDIおよびRDP導入における重要な機能です。最小限の仮想マシンイメージセットのみを扱うことで、数万台のマシンを効率的に導入できます。
デバイスの最初の侵害がここで発生します。Bitdefender によると、GAIA アカウントの認証情報を見つける方法は、Mimikatz などの LSASS に保存されている秘密を一覧表示できるマルウェアを使用することです。
ここにバグはありません
Bitdefenderが示したエクスプロイトには注意点があり、その主なものは、いずれのエクスプロイトを実行するにもローカルマシンへの侵入が必要であることです。ローカルマシンへの侵入を必要とする攻撃はGoogleの脅威モデルの範囲外であるため、Googleがこれらのエクスプロイトへの対応を拒否した主な理由はこれです。
ローカル マシンが Mimikatz のようなマルウェアが実行できるレベルまで侵害された場合、Bitdefender によって定義されたエクスプロイトは、攻撃者に開かれる可能性のほんの一例にすぎません。
最初の脆弱性開示プロセスにおいて、Bitdefender のセキュリティ研究者 Radu Tudorică 氏は、ローカルでの侵害が組織のクラウド インフラストラクチャへの攻撃につながる可能性があるため、注意を払う必要があると主張しました。
これに対して、Chromium プロジェクトの Roger Tawa 氏は次のように答えています。「GCPW がなくても、リフレッシュ トークンは Chrome プロファイル内のディスクに保存され、レジストリに保存される場合と同じメカニズムを使用して暗号化されます。」
同じOSユーザーとしてアプリを実行すると、常にこの値が抽出される可能性があります。GCPWでは、この値はディスク上のプロファイルにコピーされる前に、一時的にレジストリに保存されます。これは当時Chromeのセキュリティ担当者によって検証され、Chromeのユーザーデータの他の部分と同様に安全であり、Windowsのベストプラクティスに準拠していると判断されました。
トークンを盗むための強制的な再認証に関しては、これによってトークンが盗まれるリスクが増大することはないとも述べた。
「アプリが HKLM に書き込んで再認証を強制できる場合、ディスク上のプロファイルから暗号化されたリフレッシュ トークンを直接読み取ることもできます。」
このバグ報告を受けて Chrome のセキュリティ チームによる検討が行われ、約 1 か月にわたって検討されたが、最終的に「修正しない」というステータスになった。
本日の Bitdefender の調査は、いくつかの注意事項はあるものの、Google Workspace における既存のローカル侵害を拡大する方法の例として発表されました。
「しかし、特定の脆弱性が脅威モデルの範囲外にあるからといって、脅威の主体がそれを悪用しないというわけではない」と報告書は述べている。®
