Le società di sicurezza Hudson Rock e CloudSek avvertono di una vulnerabilità a somma zero che consente di recuperare i cookie di sessione scaduti dagli account Google Chrome. Ciò consente agli aggressori di accedere a tali account anche dopo che l'utente ha modificato la password.
Sono in circolazione diverse famiglie di malware che possono sfruttare il protocollo di autorizzazione OAuth2 Hudson Roccia E CloudSek. Ciò consente di rigenerare continuamente i cookie di sessione validi precedenti. Questi cookie contengono informazioni di autenticazione e consentono all'utente di accedere automaticamente a siti e servizi, senza dover inserire ogni volta i propri dati. Questi cookie sono solitamente destinati a essere disponibili solo temporaneamente e non funzioneranno più se gli utenti modificano i propri dati di accesso. Tuttavia, con questo exploit, una volta che gli aggressori ottengono l'accesso a un account Google Chrome, possono continuare a ottenere l'accesso non autorizzato anche dopo che l'utente ha cambiato la password, si è disconnesso o dopo la fine della sessione.
I team di ricerca hanno scoperto l'exploit nel malware Infostealer di Lumma il mese scorso. Di conseguenza, hanno scoperto che la vulnerabilità esiste nell’endpoint Google oAuth MultiLogin. Questo meccanismo sincronizza gli account Google di più servizi tra loro utilizzando un vettore di ID account e token di accesso. Se Infostealer è installato sul tuo desktop, questo malware può sfruttare l'endpoint filtrandone token e ID. Possono quindi essere decrittografati utilizzando la chiave di crittografia archiviata nel file di stato locale di Chrome. Utilizzando gli ID account e i token è quindi possibile inviare una richiesta all'API MultiLogin attraverso la quale è possibile ricreare i cookie di sessione.
CloudSek ha effettuato il reverse engineering dell'exploit ed è stato in grado di utilizzarlo per ripristinare i cookie scaduti, ha affermato la società di sicurezza Al computer addormentato. L'azienda afferma che i cookie possono essere ricreati solo una volta dopo aver modificato la password. L'accesso all'account non può essere mantenuto a lungo dopo la modifica della password.
L'exploit verrà sfruttato attivamente. E non si tratta solo di Lumma, si dice che anche altri gruppi di malware utilizzino questa vulnerabilità a proprio vantaggio. Secondo quanto riferito, finora ci sono almeno sei gruppi che lavorano al rinnovamento dei cookie di Chrome. Google non ha ancora indicato di essere a conoscenza dell'esistenza di una vulnerabilità zero-day. L'exploit non è stato chiuso al momento della stesura di questo articolo.
Un hacker ha condiviso il video sopra che mostra l'exploit con le società di sicurezza
“Fanatico della TV. Dipendente del web. Evangelista di viaggi. Aspirante imprenditore. Esploratore dilettante. Scrittore.”