Specialiștii în securitate informatică de la Bitdefender au descoperit noi tehnici de atac care vizează Google Workspace și ar putea facilita lansarea de atacuri ransomware sau sustrageri de date.
Google Credential Provider for Windows (GCPW) este un produs ce oferă organizațiilor o gestionare eficientă a computerelor angajaților și integrare cu Google Workspace. GCPW permite autentificarea utilizatorilor prin conturile Google Workspace și aplică politici de securitate precum autentificarea în doi pași și implementarea politicilor de gestionare a dispozitivelor mobile (MDM) pentru administrarea la distanță a stațiilor de lucru.
Potrivit cercetării Bitdefender, aceste funcționalități de integrare ale GCPW pot fi exploatate de atacatori prin migrarea de la un computer local la întreaga infrastructură cloud a organizației. Aceste metode de atac pot fi exploatate doar după compromiterea dispozitivului prin alte mijloace.
Principalele descoperiri
Pornind de la un singur computer compromis, actorii amenințării pot acționa în mai multe moduri pentru a escalada atacul, precum:
- accesarea altor dispozitive clonate care au deja instalat Google Credential Provider for Windows (GCPW)
- obținerea accesului la platforma cloud cu permisiuni personalizate
- decriptarea parolelor stocate local pentru a continua atacul și în afara ecosistemului Google
Bitdefender a anunțat Google despre rezultatele cercetării, iar compania a confirmat validitatea acestor metode de atac. În prezent, nu există un plan prin care să fie remediate aceste carențe de securitate, întrucât nu se încadrează tipului de amenințări urmărite de Google.
Recomandări pentru utilizatori
Specialiștii Bitdefender îndeamnă organizațiile care utilizează Google Workspace sau Google Cloud Platform să fie vigilente cu privire la potențialele riscuri.
- Detecție și răspuns – consolidarea capacității de detecție și răspuns a unei organizații ar trebui să rămână o prioritate. Utilizarea soluțiilor avansate de detecție a amenințărilor ajută la identificarea și contracararea tentativelor de obținere a accesului neautorizat sau suspect.
- Plan de răspuns la incidente – dezvoltarea și menținerea unui plan de răspuns la incidente sunt esențiale pentru gestionarea eficientă a dispozitivelor compromise la nivel local. Acest plan trebuie să includă proceduri de investigare, limitare și recuperare în urma unor incidente de securitate.