[English]Es gibt eine undokumentierte Funktion in Googles OAuth-Implementierung, die von mehreren Malwarestämmen missbraucht wird. Diese verwenden einen Exploit, mit dem sie abgelaufene Cookies wiederherstellen können. Das ermöglicht, sich anschließend an Online-Konten anzumelden, dort Informationen abzugreifen oder das Konto zu übernehmen. Die Anmeldung funktioniert sogar, wenn ein Online-Konto zurückgesetzt wurde. Aktuell ist unklar, ob Google das Problem im Browser gefixt hat.
Anzeige
OAuth, was ist das?
Das Kürzel OAuth 2.0 steht für "Open Authorization" Version 2.0, ein Autorisierungs-Protokoll. Es ist ist ein Standard zur Online-Autorisierung. Eine Website oder Anwendung kann mit OAuth 2.0 auf Ressourcen zugreifen, die von anderen Web-Apps für einen Nutzer gehostet werden. Dieser Standard löste 2012 OAuth 1.0 ab.
OAuth 2.0 nutzt Zugriffstokens, das sind Daten, die die Autorisierung zum Zugriff auf Ressourcen für den Endnutzer darstellen. OAuth 2.0 definiert kein spezielles Format für Zugriffstokens. Je nach Kontext wird jedoch häufig das "JSON Web Token (JWT)"-Format genutzt. Dieses ermöglicht es dem Aussteller der Tokens, Daten in das Token selbst aufzunehmen. Aus Sicherheitsgründen können Zugriffstokens außerdem ein Ablaufdatum haben.
OAuth 2.0 ermöglicht den Zugriff nach Zustimmung und schränkt ein, welche Aktionen der Client ausführen darf, ohne die Anmeldedaten des Nutzers zu teilen. Details lassen sich auf der verlinkten OAuth-Seite oder auf Wikipedia nachlesen.
Missbrauch einer undokumentierten Funktion
Im Oktober 2023 machte ein Malware-Entwickler mit dem Namen PRISMA eine Ankündigung auf seinem Telegram-Kanal. Der Malware-Entwickler hatte eine kritische Sicherheitslücke in OAuth 2.0 gefunden, die die Generierung von dauerhaften Google-Cookies durch Token-Manipulation ermöglicht. Diese Schwachstelle ermöglicht den kontinuierlichen Zugriff auf Google-Dienste, auch nachdem ein Benutzer sein Passwort zurückgesetzt hat.
Anzeige
Schnelle Verbreitung des Exploits
Der Malware-Entwickler erstellte dann einen Exploit, um diese 0-day-Schwachstelle auszunutzen. Ein zweiter Bedrohungsakteur, der gleichzeitig Kunde von PRISMA war, modifizierte dieses Script später und integrierte es in den Lumma Infostealer. Der Bedrohungsakteur verwendete fortschrittliche Blackboxing-Techniken, um seine Methode zu schützen. Der betreffende Exploit verbreitete sich schnell unter verschiedenen Malware-Gruppen.
Der Lumma Infostealer, der die entdeckte Schwachstelle enthält, wurde am 14. November 2024 implementiert. In der Folge übernahmen Rhadamanthys, Risepro, Meduza und Stealc Stealer diese Technik. Am 26. Dezember 2023 implementierte auch White Snake den Exploit. Derzeit arbeitet der Entwickler von Eternity Stealer aktiv an einem Update. Der Exploit verbreitet sich rasend schnell und zeigt einen besorgniserregenden Trend, der auf eine schnelle Integration des Exploits in verschiedener Infostealer-Gruppen hindeutet.
Entdeckung und Analyse
Sicherheitsforscher von CloudSEK kamen dem Sachverhalt auf die Spur, weil die kontextbezogene KI-Plattform XVigi diese Ankündigung mitbekam. Die Sicherheitsforscher waren nach einer technischen Analyse in der Lage, diesen Exploit auf einen undokumentierten Google Oauth-Endpunkt namens "MultiLogin" zurückzuführen.
Die MultiLogin-Funktion ist aber nirgends dokumentiert. Die Sicherheitsforscher wurden aber im Quellcode des Chrome-Browsers fündig. Aus dem Chromium-Quellcode geht hervor, dass es sich bei dem MultiLogin-Endpunkt um einen internen Mechanismus handelt, der für die Synchronisierung von Google-Konten über verschiedene Dienste hinweg entwickelt wurde.
MultiLogin erleichtert ein konsistentes Nutzererlebnis, indem sichergestellt wird, dass die Kontostände des Browsers mit den Authentifizierungs-Cookies von Google übereinstimmen. Dieser undokumentierte MultiLogin-Endpunkt ist ein wichtiger Teil des OAuth-Systems von Google, der Vektoren von Konto-IDs und Authent-Login-Tokens akzeptiert.
Exfiltration von Token und Konto-IDs
Bei der Analyse der Malware-Variante (u.a. durch Austausch mit den Malware-Entwicklern des Exploits) haben die Sicherheitsforscher herausgefunden, dass diese auf die token_service-Tabelle von WebData im Chrome-Browser abzielt, um Token und Konto-IDs von angemeldeten Chrome-Profilen zu extrahieren. Diese Tabelle enthält zwei wichtige Spalten: service (GAIA ID) und encrypted_token. Die verschlüsselten Token werden mithilfe eines Schlüssels, der im Local State von Chrome im UserData-Verzeichnis gespeichert ist, entschlüsselt.
Und jetzt wird es interessant: Mithilfe der per Malware extrahierten Token:GAIA-Paare aus dem MultiLogin-Endpunkt können die Bedrohungsakteure über den Exploit abgelaufene Google-Service-Cookies neu generieren. Dadurch erhalten sie dauerhaften Zugriff auf kompromittierte Konten. Das funktioniert auch, falls der Benutzer sein Passwort für das Konto zurücksetzt – allerdings nur ein Mal. Wird das Kennwort nicht zurückgesetzt, kann der Exploit abgelaufene Google-Service-Cookies für den Zugriff sogar wiederholt neu generieren und verwenden.
Status des Exploits unklar
Die Sicherheitsforscher haben ihre Analyse in einem Blog-Beitrag Compromising Google Accounts: Malwares Exploiting Undocumented OAuth2 Functionality for session hijacking veröffentlicht. Gleichzeitig standen die Sicherheitsforscher mit den Kollegen von Bleeping Computer im Austausch, die das Ganze in diesem Artikel aufgegriffen und auch ein Video von Hudson Rock zur Demonstration des Exploits eingefügt haben. Bleeping Computer hatte mehrfach bei Google nachgefragt, ob man diese Schwachstelle schließen will, aber keine Antwort erhalten. Daher ist aktuell unklar, ob der Exploit in aktuellen Chromium-Versionen noch ausgenutzt werden kann.
Ergänzung: Google gibt in einer Stellungnahme an, dass das Ganze nichts neues sei und meint "Google ist sich der jüngsten Berichte über eine Malware-Familie bewusst, die Sitzungs-Token stiehlt. Angriffe mit Malware, die Cookies und Token stehlen, sind nicht neu; wir aktualisieren routinemäßig unsere Abwehrmaßnahmen gegen solche Techniken und schützen Nutzer, die Opfer von Malware werden. In diesem Fall hat Google Maßnahmen ergriffen, um alle entdeckten kompromittierten Konten zu sichern". Die Kollegen von Bleeping Computer haben das Ganze in diesem Blog-Beitrag samt obiger Stellungnahme aufgegriffen.
Anzeige
Multilogin ist für dritte Mitleser praktisch, ein Schelm …
Beeindruckend und gleichzeitig erschreckend, diese Erkenntnisse, vielen Dank Günter für diesen Überblick.
Nun wäre es interessant, welche Nutzer mit welchen Softwarekonstellationen angreifbar sind?
Generell auch jedes Google-Konto knackbar/missbrauchbar, ohne das der Nutzer auch eine weitere Google-Software (wie Chrome-Browser) oder Google-Suchleiste unter z.B. Windows, Android oder iOS nutzt?
Oder nur die via OAUTH authentifizierten Dienste wie z.B. Email mit Clients Thunderbird etc. ?
Chrome ist ja auch in diversen Win-Browsern wie Vivaldi, MS Edge etc. "verbaut" …
Firefoxbrowser, um sich in Google-Dienste per Web-UI anzumelden?
… ?
Für den Otto-Normalverbraucher wäre eine stark vereinfachte Gefahrenanalyse sowie Fazit hilfreich.
Wenn du (der User) das und das nutzt oder nicht nutzt, dann besteht die oben skizzierte Gefahr ja/nein/vielleicht … ?
und btw.: (und ohne Gender-Formulierung)
Vielen Dank an Günter für wieder informatives IT-Jahr 2023, selten mit Lob, leider viel Tadel und Fails der IT …
Für mich am spannendsten war das Thema "TCP-Murks" mit dem dazugehörigen Tuning-Script, aktuell in V 2.02 , welches jeden Win-Client (W)LAN-seitig massiv beschleunigt. Vielen Dank an dieser Stelle an Alexander Fuchs alias MysticFox für die Analyse des Microsoft-"TCP-Murkses" und Entwicklung des "Tuning"-Scriptes!
An dieser Stelle DIR Günter und deiner Familie, für 2024 ALLES ALLES GUTE, insbesondere körperliche und seelische Gesundheit, das höchste Gut, was ein Mensch haben kann.
Allen anderen Lesern und Kommentatoren, die konstruktiv und informativ positiv zum "Leben" des Blogs beigetragen haben, auch alles Gute für 2024.
Merke: In der IT wird es NIE langweilig … und (leider) gibt es keine/kaum Pausen.
Irgendein (guter/böser) fähiger ITler oder "Id10T" (wie es mal ein ehemaliger US-Kollege von mir ausformulierte … "ID Ten T") findet sich immer, der "irgendwo Mist baut oder Sicherheitslücken findet". Leider auch über die Feiertage.
Das Thema Geld zieht immer. "Wie komme ich am einfachsten an MEIN GELD, was in DEINER GELDBÖRSE" steckt … oder ähnliche Themen.
CU 2024.
„Einmal drin, immer drin, überall drin" …
Genial, warum sollte man es den Malwareherstellern auch schwerer machen als nötig.
Nach den vorliegenden Informationen von bleepingcomputer.com und cloudsek.com gibt es also nichts, was man als Benutzer unternehmen kann, um sich vor Missbrauch dieser Google-MultiLogin Sicherheitslücke zu schützen.
Wie aus den verschieden Beiträgen zu entnehmen ist, weiß Google davon und versucht seit Wochen offenbar ohne allzu großen Erfolg diese Lücke zu schließen, denn die bösen Jungs:Junginnen konnte ihre Malware immer wieder anpassen.
Einzig allein hilft zur Zeit wohl nur, Google-Accounts grundsätzlich zu meiden wie der Teufel das Weihwasser.
Nach einem Artikel von 9to5google.com
"New malware restores cookies to break into your Google Account [U: Google responds]"
https://9to5google.com/2024/01/02/google-account-cookies/
hat Google reagiert:
(Übersetzung mit ChatGPT)
>…Google hat heute eine Antwort auf die Session-Token-Malware veröffentlicht. Das Unternehmen gibt an, dass es "Maßnahmen ergriffen hat, um erkannte kompromittierte Konten zu sichern" und dass die Methode, gestohlene Sitzungen zu bekämpfen, darin besteht, sich aus dem betroffenen Browser auszuloggen – über den Kontoschalter in der oberen rechten Ecke jeder Google-Seite – oder dem Gerät…<