Home » News » Cybersecurity » Cyberkriminelle können Google-Anmeldung für Windows missbrauchen

Cyberkriminelle können Google-Anmeldung für Windows missbrauchen

In einer aktuellen Analyse verdeutlichen Sicherheitsexperten die potenzielle Ausnutzung des Google Workspace, ehemals bekannt als G Suite, durch Cyberkriminelle. Nach erfolgreichen Kompromittierungen lokaler Maschinen durch diverse Angriffsmethoden eröffnet sich für die Angreifer die Möglichkeit, auf weitere geklonte Maschinen zuzugreifen. Dadurch können sie sich mit Kundenberechtigungen Zugang zu Cloud-Plattformen verschaffen oder lokal gespeicherte Passwörter entschlüsseln, um im Anschluss weitere Angriffe auszuführen.

2 Min. Lesezeit
Foto: ©AdobeStock/PixieMe

In jüngsten Erkenntnissen haben Sicherheitsforscher von Bitdefender neue Eintrittswege für Hacker in Opfernetzwerke aufgedeckt. Diese Entdeckungen wurden gemacht, als Bitdefender neue Sensoren für Extended-Detection-and-Response (XDR) speziell für Google Workplace und die Google Cloud Platform entwickelte. Bitdefender informierte Google über diese neuartigen Angriffsmethoden. Der Suchmaschinenriese gab jedoch an, dass er derzeit nicht plant, diese Möglichkeiten anzugehen, da sie außerhalb ihres aktuellen Bedrohungsmodells liegen. Stattdessen betonte Google, dass der Schutz durch andere IT-Sicherheitstechnologien gewährleistet werden solle.

Die neu aufgetretenen Angriffsmethoden ermöglichen es Hackern, von einem einzelnen Endpunkt aus Zugang zum gesamten Netzwerk zu erlangen, wodurch Ransomware-Angriffe und Datenabflüsse potenzielle Konsequenzen sind. Die Angreifer nutzen dabei den Google Credential Provider for Windows (GCPW). Dieses Tool bietet Funktionen für das Windows Device Management im Remote-Modus, ohne die Notwendigkeit einer VPN-Verbindung in einer registrierten Domain. Die Funktionalität ähnelt dabei Microsoft Intune, sodass Administratoren Windows-Geräte, die in Google Workspace integriert sind, aus der Ferne verwalten und überwachen können. Darüber hinaus ermöglicht GCPW die Single-Sign-On (SSO)-Authentifizierung für Windows-Betriebssysteme in Verbindung mit Google Workspace, also für Dienste wie Gmail, Google Drive und den Google Kalender.

Gemäß der Analyse können folgende Angriffsmethoden erfolgen, sobald eine lokale Maschine durch andere Mittel kompromittiert wurde:

  • Seitwärtsbewegung mithilfe geklonter Maschinen und Passwörter in virtualisierten Umgebungen wie Virtual Desktop-Infrastrukturen (VDIs) und Desktop-as-a-Service (DaaS)-Lösungen von Anbietern wie Citrix und VMware. Dies ermöglicht den Zugriff auf alle Maschinen mit einem einzigen Passwort.
  • Unautorisierte Anfragen von Access-Tokens und Nutzung der damit erlaubten Aktionen: Angreifer können Access Tokens unberechtigterweise anfordern, indem sie auf ein OAuth-Token zur Passwortwiederherstellung zugreifen. Dadurch können sie verschiedene Aktionen im Namen des kompromittierten Nutzers ausführen und die Multi-Faktor-Authentifizierung (MFA) umgehen.

Die potenzielle Ausnutzung von Access Tokens gestattet den Zugriff auf verschiedene Google Application Programming Interfaces (APIs), die den Angreifern zahlreiche Zugriffsmöglichkeiten auf Endpunkte und entsprechende Rechte gewähren. Dies ermöglicht das Anlegen, Modifizieren oder Löschen von Nutzerkonten sowie das Exfiltrieren, Manipulieren oder Löschen von Daten. Zugriffsberechtigungen auf Google Cloud Storage, Google Translate und Google Cloud Search erlauben ebenfalls die Verwaltung von Daten in diesen Cloud-Plattformen, die oft unternehmenskritische Informationen und geistiges Eigentum enthalten. Darüber hinaus können Angreifer über diese Methode auf E-Mail-Adressen, dazugehörige persönliche Informationen sowie Google Classroom-Daten zugreifen.

In der Konsequenz könnten Angreifer auch Zugriff auf das Anwender-Passwort im Klartext erhalten, wodurch sie unmittelbar die Identität des Opfers annehmen können.

Trotz der aufgezeigten Gefahren hat Google erklärt, dass sie aktuell nicht aktiv werden, da diese Ergebnisse außerhalb ihres spezifischen Risikomodells liegen. Diese Entscheidung basiert auf der Bewertung von Risiken und Sicherheitsprioritäten. Dennoch könnten Angreifer diese vorhandenen Möglichkeiten für ihre Zwecke ausnutzen.

Die vollständige Studie steht hier zum Download bereit.

Klonen des Passworts für eine Maschine auf andere virtuelle Maschinen

Quelle: Bitdefender

Andere interessante News

Datensicherheit, Schwachstelle

Schwachstelle im Foxit PDF-Reader wird für Phishing ausgenutzt

Forscher haben ein ungewöhnliches Verhaltensmuster bei der Ausnutzung von PDF-Dateien entdeckt. Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Über die Ausnutzung der Schwachstelle lassen sich Sicherheitswarnungen auslösen, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen.

Cyberabwehr

Abwehr und Wiederherstellung als Grundpfeiler der Cyber-Resilienz

Unternehmen sollten bei ihrer Cyber-Resilienz-Strategie genau wissen, welche Gefahren drohen, welche Schritte sie zur Abwehr priorisieren müssen und wie sie eine schnelle Wiederherstellung von Daten organisieren. Das bedeutet, dass neben dem Schutz vor Angriffen auch die Möglichkeit zur zuverlässigen Datenwiederherstellung entscheidend ist, um eine umfassende Cyber-Resilienz zu gewährleisten.

Datensicherheit in der Cloud

Best Practices für den Schutz von Daten als Service

Heutzutage müssen Unternehmen ihre Kosten senken, Prozesse verbessern und sich vor Cyber-Bedrohungen schützen. Um das zu schaffen, brauchen sie kluge Strategien für die Stabilität von SaaS-Diensten und um in Cloud-Umgebungen vollständige Kontrolle und Sicherheit zu erlangen.