Een jonge tsjechische bug hunter heeft gevonden van een lek in een van Google ‘ s backend apps. Als geëxploiteerd door een kwaadaardige bedreiging acteur, de bug zou hebben toegestaan hackers een manier om te stelen Google-medewerker cookies voor interne apps en kapen van accounts, start zeer overtuigend spear-phishing-pogingen, en mogelijk toegang krijgen tot andere delen van Google ‘ s interne netwerk.
Deze aanval werd ontdekt door security-onderzoeker Thomas Orlita in februari van dit jaar, en heeft gepatched in het midden van April, maar nu pas openbaar gemaakt.
XSS in Google facturering portal
Beschreven als een cross-site scripting (XSS) kwetsbaarheid, de lek invloed gehad op de Google Factuur Indiening Portal, een openbare website waar Google redirects business partners om facturen in te dienen, op basis van contractuele overeenkomsten.
De meeste XSS onvolkomenheden worden beschouwd als een goedaardige, maar er zijn van die zeldzame gevallen waar deze soorten kwetsbaarheden kunnen leiden tot ernstige gevolgen.
Een van die gevallen was Orlita ontdekking. De onderzoeker zei dat een kwaadaardige bedreiging acteur zou kunnen hebben geüpload ongeldige bestanden in de Google Factuur Indiening Portal, via de Upload Factuur veld.
Het gebruik van een proxy, de aanvaller zou hebben onderschept het geüploade bestand onmiddellijk na de verzending van het formulier en validatie bewerking plaatsvond, en gewijzigd bij de documenten van een PDF naar HTML om de XSS schadelijke inhoud.
De gegevens zou hebben uiteindelijk wordt opgeslagen in Google ‘ s facturering backend en zou automatisch uitgevoerd wanneer een werknemer geprobeerd om het te bekijken.
Google ‘ s interne netwerk kon zijn in gevaar
“Sinds de XSS werd uitgevoerd op een googleplex.com subdomein, terwijl de werknemer is aangemeld, is de aanvaller in staat moet zijn om toegang te krijgen tot het dashboard op dit subdomein waar het mogelijk is om het weergeven en beheren van de facturen,” Orlita vertelde ZDNet via e-mail.
“Afhankelijk van de manier waarop cookies worden geconfigureerd op googleplex.com het is ook mogelijk om toegang te krijgen tot andere interne applicaties die gehost wordt op deze domein” de onderzoeker toegevoegd.
Aangezien de meeste Google-interne apps worden gehost op de googleplex.com domein, dit opent de deur voor aanvallers om een breed scala van mogelijkheden.
Maar, al met al, net als de meeste XSS security bugs, deze bug zou hebben afgehangen van een bedreiging van acteur niveau van vaardigheden en het vermogen te draaien om meer complexe aanvallen.
“De ernst van de gevolgen is, uiteraard, afhankelijk van hoe goed het kan worden misbruikt om toegang te krijgen tot hun interne sites,” Orlita vertelde ZDNet. “Bijvoorbeeld, een aanvaller zou kunnen proberen een phishing-aanval op de werknemer.”
Voor meer technische details over de XSS bug, Orlita de officiële kwetsbaarheid openbaarmaking is de plek om te gaan.
Meer kwetsbaarheid rapporten:
Microsoft juni 2019 Patch dinsdag lost veel van SandboxEscaper de nul-daysDiebold Nixdorf waarschuwt klanten van RCE bug in oudere Automaten
Yubico te vervangen kwetsbare YubiKey FIPS veiligheid keysMajor HSM kwetsbaarheden impact banken, cloud providers, overheden’RAMBleed’ Rowhammer aanval kan nu gegevens te stelen, niet alleen veranderen itMicrosoft blokken BLE beveiliging toetsen met bekende koppelen vulnerabilityKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters