Nach einem weit verbreiteten Hackerangriff auf Gmail-Nutzer hat Google eine einfache Lösung empfohlen: „Versuchen Sie es aus- und wieder einzuschalten.“ Dieser Rat, der an ein bekanntes Mantra aus der Kult-TV-Serie „The IT Crowd“ erinnert, kommt als Reaktion auf Berichte über einen Angriff, der Informationen stiehlt und gegen Passwortänderungen resistent ist.
Laut einer Geheimdienstanalyse von CloudSEK-Forscher Pavan Karthick M, veröffentlicht am 29. Dezember, können Google-Konten durch Ausnutzung eines undokumentierten Authentifizierungspunktes, der für die Synchronisation über Dienste hinweg verwendet wird, kompromittiert werden. Angreifer haben dies genutzt, um die Sitzungscookies der Nutzer kritisch auszunutzen, die für die Anmeldung bei Google-Benutzerkonten ohne Eingabe von Anmeldeinformationen verwendet werden. Dies könnte dann Zugang zum Gmail-Posteingang ermöglichen, einem hochpriorisierten Ziel für die Sicherheit.
Die erste Erwähnung dieses Exploits war am 20. Oktober auf einem russischsprachigen Telegram-Kanal. Bis zum 14. November war bekannt, dass er in Malware enthalten war, die von der kriminellen Gruppe Lumia verwendet wurde, und kurz darauf wurde er von anderen Bedrohungsakteuren übernommen. Noch am 27. Dezember wurden Bedrohungsakteure im Dark Web gesehen, wie sie diesen Exploit gegen Google-Konto-Sitzungscookies demonstrierten.
Google-Passwortänderung Verhindert Nicht den Angriff
CloudSEKs Bedrohungsanalyse zeigt, dass abgelaufene Sitzungscookies wiederhergestellt werden könnten, um Angreifern einen fortgesetzten und erweiterten Zugriff zu ermöglichen. Darüber hinaus besagt die Forschung, dass der Exploit einen kontinuierlichen Zugriff auf Google-Dienste ermöglicht, selbst nachdem Benutzer ihre Passwörter zurückgesetzt haben.
Haben Sie Schon Versucht, Es Aus- und Wieder Einzuschalten?
Ein Sprecher von Google sagt, dass das Unternehmen „von jüngsten Berichten über eine Malware-Serie, die Sitzungstokens stiehlt“ weiß und anerkennt, dass solche Angriffe „involvierend Malware, die Cookies und Tokens stiehlt, nicht neu sind.“ Google berichtet auch, dass sie regelmäßig ihre Verteidigungen gegen solche Techniken aufrüsten und „Schritte unternommen haben, um etwaige kompromittierte Konten zu sichern“, die in diesem Zusammenhang entdeckt wurden.
Google distanziert sich jedoch von einigen Berichten, die behaupten, dass es unmöglich ist, gestohlene Tokens und Cookies zu widerrufen, und hier wird das IT-Crowd-Mantra „haben Sie schon versucht, es aus- und wieder einzuschalten“ zur Realität. „Gestohlene Sitzungen können für ungültig erklärt werden“, sagt Google, „indem man sich einfach aus dem betroffenen Browser ausloggt oder die Fernrücknahme über die Geräteseite des Benutzers vornimmt.“ Google empfiehlt auch, das Enhanced Safe Browsing in Chrome zu aktivieren, um sich gegen Phishing und Malware-Downloads zu schützen.
Die CloudSEK-Analyse geht näher auf das Aus- und Wiedereinschalten ein und stellt fest:
„Wenn Sie vermuten, dass Ihr Konto kompromittiert sein könnte, oder als allgemeine Vorsichtsmaßnahme, sollten Sie sich aus allen Browserprofilen ausloggen, um die aktuellen Sitzungstokens zu invalidieren. Danach setzen Sie Ihr Passwort zurück und melden sich erneut an, um neue Tokens zu generieren. Das Zurücksetzen Ihres Passworts unterbricht effektiv den unbefugten Zugriff, indem es die alten Tokens invalidiert, auf die sich die Info-Diebe verlassen, und bietet so eine vorübergehende Barriere für die Fortsetzung ihres Zugangs.“