Efter et omfattende hackerangreb mod Gmail-brugere, har Google anbefalet en simpel løsning: “Prøv at slukke og tænde igen”. Dette råd, som minder om et kendt mantra fra den kultklassiske tv-serie “The IT Crowd”, kommer som svar på rapporter om et angreb, der stjæler information og er resistent over for adgangskodeændringer.
Ifølge en efterretningsanalyse fra CloudSEK-forsker Pavan Karthick M, offentliggjort den 29. december, kan Google-konti kompromitteres ved at udnytte et udokumenteret autentificeringspunkt, der bruges til synkronisering på tværs af tjenester. Angribere har brugt dette til kritisk at udnytte brugernes sessionscookies, som bruges til at logge ind på Google-brugeres konti uden at skulle indtaste legitimationsoplysninger. Dette kunne så give adgang til Gmail-indbakken, som er et højt prioriteret mål for sikkerhed.
Den første omtale af dette exploit var den 20. oktober på en russisksproget Telegram-kanal. Den 14. november var det kendt, at det var inkluderet i malware, der blev brugt af den kriminelle gruppe Lumia, og snart efter blev det overtaget af andre trusselsaktører. Så sent som den 27. december blev trusselsaktører set på dark web demonstrere brugen af dette exploit mod Google-konto sessionscookies.
Ændring af Google-adgangskode Forhindrer Ikke Angreb
Ifølge CloudSEKs trusselsanalyse kunne udløbne sessionscookies genoprettes for at tillade fortsat og forlænget adgang af angriberne. Endvidere angiver forskningen, at exploitet muliggør kontinuerlig adgang til Google-tjenester, selv efter at brugerne nulstiller deres adgangskoder.
Du skal “bare” logge ud og ind igen…
Har du prøvet at slukke og tænde Igen?
En talsperson for Google siger, at virksomheden er “opmærksom på nylige rapporter om en malware-serie, der stjæler sessionstokens” og anerkender, at sådanne angreb “der involverer malware, der stjæler cookies og tokens, ikke er nye”. Google fortæller også, at de rutinemæssigt opgraderer forsvar mod sådanne teknikker og har “taget skridt til at sikre eventuelle kompromitterede konti, der er opdaget” i denne henseende. Google tager dog afstand fra nogle rapporter, der siger, at det er umuligt at tilbagekalde stjålne tokens og cookies, og her bliver IT Crowd-mantraet “har du prøvet at slukke og tænde igen” en realitet. “Stjålne sessioner kan ugyldiggøres,” siger Google, “ved simpelthen at logge ud af den berørte browser, eller fjernstyre tilbagekaldelse via brugerens enhedsside.” Google anbefaler også at aktivere Enhanced Safe Browsing i Chrome for at beskytte mod phishing og malware downloads.
CloudSEK-analysen går mere i detaljer med hensyn til at slukke og tænde igen, idet det anføres: “Hvis du mistænker, at din konto kan være kompromitteret, eller som en generel forholdsregel, skal du logge ud af alle browserprofiler for at ugyldiggøre de nuværende sessionstokens. Efter dette skal du nulstille din adgangskode og logge ind igen for at generere nye tokens. Nulstilling af din adgangskode forstyrrer effektivt uautoriseret adgang ved at ugyldiggøre de gamle tokens, som infostealersne er afhængige af, og giver dermed en midlertidig barriere for fortsættelsen af deres adgang.”
Du kan læse den fulde CloudSEK-analyse via dette link. (Engelsk)
Opdatering
Medie: Google nedtoner risikoen for angreb på GMail gennem Chrome
