Bitdefender ha individuato recentemente nuove tecniche di attacco contro Google Workspace e Google Cloud Platform per portare avanti attacchi ransomware, di esfiltrazione dei dati e di recupero delle password. Martin Zugec, direttore delle soluzioni tecniche di Bitdefender, ha dichiarato in un recente report che “gli attori delle minacce potrebbero procedere in diversi modi, partendo da una singola macchina compromessa: potrebbero spostarsi su altre macchine clonate con Google Credential Provider for Window (GCPW) installato, ottenere l’accesso alla piattaforma cloud con autorizzazioni personalizzate o decriptare le password memorizzate localmente per continuare il loro attacco al di fuori dell’ecosistema Google”.

Poiché il bug “non rientra nel nostro modello di minaccia e il comportamento è in linea con le pratiche di Chrome di archiviazione dei dati locali”, Google lo ha classificato come non risolvibile. Questo perché l’aggressore deve aver precedentemente ottenuto l’accesso al computer locale attraverso un altro metodo. Tuttavia, secondo Bitdefender, gli attori delle minacce potrebbero sfruttare queste falle per trasformare una compromissione di un singolo endpoint in un’intrusione a livello di rete.

Gli attacchi dipendono dall’uso da parte di un’organizzazione di Google Credential Provider for Windows (GCPW), che fornisce funzioni di single sign-on (SSO) e di gestione dei dispositivi mobili (MDM). In questo modo, gli utenti possono accedere ai loro dispositivi Windows con le stesse credenziali di accesso che utilizzano per accedere ai loro account Google e gli amministratori possono gestire e controllare da remoto i dispositivi Windows all’interno dei loro ambienti Google Workspace.

Nel suo report, Bitdefender spiega come gli hacker possano sfruttare il funzionamento di Google Credential Provider for Windows, che utilizza l’account del servizio privilegiato locale Google Accounts and ID Administration per verificare le credenziali degli utenti e, quindi, memorizzare un token di aggiornamento che elimina la necessità di una nuova autenticazione. In questo modo, il token OAuth di aggiornamento di un account può essere estratto dagli aggressori che hanno già compromesso un computer per aggirare l’autenticazione multifattoriale.

Servizi di messaggistica di Google

Un altro exploit, invece, utilizza la tecnica di movimento laterale Golden Image per creare un’altra macchina virtuale con il GCPW preinstallato e clonare la password legata all’account GAIA nel processo. In un terzo exploit, l’aggressore ottiene la chiave privata RSA necessaria per decifrare il campo della password inviando una richiesta HTTP GET a un endpoint API non documentato utilizzando un token di accesso ottenuto in precedenza.

GCPW autentica gli utenti con le credenziali di Google Workspace utilizzando un account di servizio locale “Gaia”. Questo account, che ha privilegi elevati, viene creato durante l’installazione di GCPW. Questa funzione consente al Local Security Authority Subsystem Service (LSASS), che gestisce l’autenticazione del sistema operativo Windows, di integrare un Credential Provider. Quando gli utenti sbloccano o accedono ai loro dispositivi, questo Credential Provider verifica le loro credenziali.

Un nuovo account utente locale chiamato “Gaia” viene creato per ogni nuovo utente che si autentica con GCPW ed è connesso al suo account Workspace. Per evitare di ricevere più richieste di autenticazione, l’utente utilizza questo profilo locale per accedere e un token di aggiornamento viene salvato nel suo profilo.

Quando si trasferiscono file da e verso Google Drive, ci sono due diversi tipi di record di log: “copia_origine” e “copia”. Solo il primo tipo di record può essere creato dai dipendenti senza licenza a pagamento quando utilizzano il cloud storage di un’organizzazione. In questo modo, i possibili attori delle minacce possono eludere il rilevamento dopo aver sottratto informazioni importanti.

Secondo la società di cybersicurezza Mitiga, “non ci sono assolutamente registri delle azioni di download dall’unità privata dell’utente”. Pertanto, “l’azienda non riuscirà a rilevare l’esfiltrazione se controlla solo gli eventi ‘copy’ e non anche ‘source_copy’ per il furto di dati e la copia viene effettuata da un utente con una licenza non pagata. Abbiamo contattato il team di sicurezza di Google ma non abbiamo ancora ricevuto una risposta ufficiale, se non che la protezione deve essere fornita da altri controlli di sicurezza, come EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response)”.