Фирмите за сигурност Hudson Rock и CloudSek предупреждават за уязвимост от нулев ден, която прави възможно възстановяването на бисквитки с изтекла сесия от акаунти в Google Chrome. Това позволява на нападателите да имат достъп до тези акаунти дори след като потребителят промени паролата.
В обращение има няколко фамилии зловреден софтуер, които могат да използват протокола за оторизация OAuth2 Хъдсън Рок И CloudSek. Това прави възможно непрекъснатото повторно генериране на предишни, валидни сесийни бисквитки. Тези бисквитки съдържат информация за удостоверяване и позволяват на потребителя автоматично да влиза в уебсайтове и услуги, без да се налага да въвежда своите данни всеки път. Тези бисквитки обикновено са предназначени да бъдат налични само временно и повече няма да функционират, ако потребителите променят своите данни за вход. Въпреки това, с този експлойт, след като нападателите получат достъп до акаунт в Google Chrome, те могат да продължат да получават неоторизиран достъп дори след като потребителят промени паролата си, излезе или след края на сесията.
Изследователски екипи откриха експлойта в зловреден софтуер Infostealer на Lumma миналия месец. В резултат на това те откриха, че уязвимостта съществува в крайната точка на Google oAuth MultiLogin. С помощта на този механизъм акаунтите в Google от множество услуги се синхронизират помежду си с помощта на вектор от идентификатори на акаунти и токени за влизане. Ако Infostealer е инсталиран на вашия работен плот, този зловреден софтуер може да използва крайната точка, като филтрира нейните токени и идентификатори. След това те могат да бъдат декриптирани с помощта на ключа за шифроване, съхранен в локалния държавен файл на Chrome. Използвайки идентификаторите на акаунта и токените, тогава е възможно да изпратите заявка до MultiLogin API, чрез който сесийните бисквитки могат да бъдат създадени отново.
CloudSek направи обратно инженерство на експлойта и успя сами да го използва, за да възстанови изтеклите бисквитки, каза компанията за сигурност Към спящия компютър. Компанията заявява, че бисквитките могат да бъдат създадени отново само веднъж след промяна на паролата. Достъпът до акаунта не може да се поддържа дълго време след промяна на паролата.
Експлойтът ще се използва активно. И не е само Lumma, други групи злонамерен софтуер също използват уязвимостта в своя полза. Съобщава се, че досега има най-малко шест групи, които работят по обновяването на бисквитките на Chrome. Google все още не е посочил, че знае за съществуването на уязвимост от нулев ден. Експлойтът не е затворен към момента на писане.
Хакер сподели горното видео, демонстрирайки експлойта с компании за сигурност
„Удобен за хипстър органайзер. Мислител. Комуникатор. Печелен с награди уеб нинджа. Типичен геймър. Зъл гуру на зомбитата. Фен на бирата.“