信息來源:嘶吼網(wǎng)
攻擊概述
研究人員在Google Drive中發(fā)現(xiàn)了一個(gè)未修復(fù)的安全漏洞,攻擊者利用該漏洞可以傳播偽裝成合法文件和圖像的惡意文件,以較高的成功率執(zhí)行魚叉式釣魚攻擊。
該安全問題來源于Google Drive提供的一個(gè)新特征——manage versions(管理版本)中,用戶利用該功能可以上傳和管理同一文件的不同版本,此外其接口可以提供給用戶該文件的最新版本。
從邏輯上說,Google Drive的管理版本功能可以讓用戶更新文件,即用相同擴(kuò)展的新文件來替換舊版本的文件,但事實(shí)并非如此。
研究人員A. Nikoci稱,該功能允許用戶對(duì)云存儲(chǔ)上的現(xiàn)有文件上傳一個(gè)任意文件擴(kuò)展的新版本文件,其中就包括惡意可執(zhí)行文件。
PoC 視頻參見:
https://www.youtube.com/embed/5wDQzJjicCQ
https://www.youtube.com/embed/-Hu778VYoys
https://www.youtube.com/embed/5wDQzJjicCQ
如PoC 視頻所示,用戶已經(jīng)共享的文件的合法版本可以被惡意文件所替換,然而在線預(yù)覽時(shí)不會(huì)有任何新修改的跡象或告警消息,但下載時(shí)可以直接感染目標(biāo)系統(tǒng)。
Google Drive新特征可以讓用戶不檢查是否同一文件類型的情況下修改文件版本。這也為高效的魚叉式釣魚攻擊打開了大門,攻擊者可以利用Google Drive等云服務(wù)來傳播惡意軟件。
攻擊者偏愛Google Drive
魚叉式垃圾郵件會(huì)誘使接收者打開惡意附件或打開看似無害的鏈接,然后提供賬戶憑證等機(jī)密信息給攻擊者。鏈接或附件可以讓接收者在毫不知情的情況下下載惡意軟件到接收者電腦,然后攻擊者會(huì)利用惡意軟件來訪問受害者計(jì)算機(jī)系統(tǒng)和獲取敏感信息。
Google Drive的新特征可以讓用戶方便地更新共享的文件,還可以用新文件來完全替換舊版本文件。這樣的話,共享的文件就可以在不改變鏈接的情況下更新。在不驗(yàn)證文件擴(kuò)展有效性的情況下,對(duì)文件版本進(jìn)行替換會(huì)帶來很多潛在的危害。攻擊者利用該功能可以發(fā)起whaling攻擊,即偽裝成目標(biāo)企業(yè)的高級(jí)管理人員或特定個(gè)人,然后竊取敏感信息或訪問受害者計(jì)算機(jī)系統(tǒng)。
此外,Google Chrome瀏覽器默認(rèn)是信人從Google Drive下載的文件的,即使該文件被其他的反病毒軟件標(biāo)記為惡意的。
云服務(wù)成為新的攻擊向量
雖然目前還沒有證據(jù)表明該漏洞被在野利用了,但是從近幾個(gè)月的多起魚叉式釣魚攻擊來看,云服務(wù)已經(jīng)成為惡意軟件傳播的新工具。
今年初,Zscaler就發(fā)現(xiàn)了一起使用Google Drive來下載密碼竊取器的釣魚攻擊活動(dòng)。上個(gè)月,Check Point研究人員發(fā)現(xiàn)一起攻擊活動(dòng)不僅使用垃圾郵件來嵌入保持在Dropbox和Google Drive上的惡意軟件,還利用云服務(wù)來保持釣魚頁面。
隨著公有云服務(wù)成為一種新的攻擊向量,研究人員建議用戶要注意可疑的郵件,包括Google Drive通知,以預(yù)防潛在的攻擊活動(dòng)。