攻击概述
研究人员在Google Drive中发现了一个未修复的安全漏洞,攻击者利用该漏洞可以传播伪装成合法文件和图像的恶意文件,以较高的成功率执行鱼叉式钓鱼攻击。
该安全问题来源于Google Drive提供的一个新特征——manage versions(管理版本)中,用户利用该功能可以上传和管理同一文件的不同版本,此外其接口可以提供给用户该文件的最新版本。
从逻辑上说,Google Drive的管理版本功能可以让用户更新文件,即用相同扩展的新文件来替换旧版本的文件,但事实并非如此。
研究人员A. Nikoci称,该功能允许用户对云存储上的现有文件上传一个任意文件扩展的新版本文件,其中就包括恶意可执行文件。
PoC 视频参见:
https://www.youtube.com/embed/5wDQzJjicCQ
https://www.youtube.com/embed/-Hu778VYoys
https://www.youtube.com/embed/5wDQzJjicCQ
如PoC 视频所示,用户已经共享的文件的合法版本可以被恶意文件所替换,然而在线预览时不会有任何新修改的迹象或告警消息,但下载时可以直接感染目标系统。
Google Drive新特征可以让用户不检查是否同一文件类型的情况下修改文件版本。这也为高效的鱼叉式钓鱼攻击打开了大门,攻击者可以利用Google Drive等云服务来传播恶意软件。
攻击者偏爱Google Drive
鱼叉式垃圾邮件会诱使接收者打开恶意附件或打开看似无害的链接,然后提供账户凭证等机密信息给攻击者。链接或附件可以让接收者在毫不知情的情况下下载恶意软件到接收者电脑,然后攻击者会利用恶意软件来访问受害者计算机系统和获取敏感信息。
Google Drive的新特征可以让用户方便地更新共享的文件,还可以用新文件来完全替换旧版本文件。这样的话,共享的文件就可以在不改变链接的情况下更新。在不验证文件扩展有效性的情况下,对文件版本进行替换会带来很多潜在的危害。攻击者利用该功能可以发起whaling攻击,即伪装成目标企业的高级管理人员或特定个人,然后窃取敏感信息或访问受害者计算机系统。
此外,Google Chrome浏览器默认是信人从Google Drive下载的文件的,即使该文件被其他的反病毒软件标记为恶意的。
云服务成为新的攻击向量
虽然目前还没有证据表明该漏洞被在野利用了,但是从近几个月的多起鱼叉式钓鱼攻击来看,云服务已经成为恶意软件传播的新工具。
今年初,Zscaler就发现了一起使用Google Drive来下载密码窃取器的钓鱼攻击活动。上个月,Check Point研究人员发现一起攻击活动不仅使用垃圾邮件来嵌入保持在Dropbox和Google Drive上的恶意软件,还利用云服务来保持钓鱼页面。
随着公有云服务成为一种新的攻击向量,研究人员建议用户要注意可疑的邮件,包括Google Drive通知,以预防潜在的攻击活动。
本文翻译自:https://thehackernews.com/2020/08/google-drive-file-versions.html如若转载,请注明原文地址: