Google-OAuth-Endpunkt-Exploit bedroht die Sicherheit von Google-Konten

Mehrere Malware-Familien nutzen anscheinend einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“ aus, um abgelaufene Authentifizierungscookies wiederzubeleben und so unbefugten Zugriff auf die Google-Konten der Benutzer zu ermöglichen.

Wie funktioniert der Exploit?

Der Exploit funktioniert durch das Extrahieren von Token und Konto-IDs aus Chrome-Profilen, die bei einem Google-Konto angemeldet sind. Zu den gestohlenen Informationen gehören der Dienst (GAIA-ID) und das verschlüsselte_Token. Mithilfe eines Verschlüsselungsschlüssels, der in der „Local State“-Datei von Chrome gespeichert ist, entschlüsseln Bedrohungsakteure die gestohlenen Token. Diese entschlüsselten Token, gepaart mit dem MultiLogin-Endpunkt, ermöglicht es, abgelaufene Google-Service-Cookies neu zu generieren.

Was ist der Schaden?

So können das Authentifizierungs-Cookie zwar nur einmal neu generiert werden, wenn ein Benutzer sein Google-Passwort zurücksetzt. Man kann jedoch wiederholt Authentifizierungs-Cookies neu generieren, wenn das Passwort unverändert bleibt. Mehrere Schadprogramme wie Lumma, Rhadamanthys, Stealc, Medusa, RisePro und Whitesnake nutzen diese Schwachstelle.

Was kann ich tun, um mich zu schützen?

Es gibt einige Dinge, die man tun kann, um sich vor diesem Exploit zu schützen:

• Aktualisiert Chrome auf die neueste Version.
• Verwendet ein starkes Passwort für das Google-Konto.
• Aktiviert die Zwei-Faktor-Authentifizierung (2FA) für das Google-Konto.
• Seit vorsichtig, welche Links ihr anklickt und welche Dateien ihr herunterladet.

Google hat noch keine offizielle Stellungnahme zu dieser Sicherheitslücke abgegeben.

Inhalt von YouTube anzeigen

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Inhalt von YouTube immer anzeigen

„Hacker demonstrates Google 0day for session cookie revival“ direkt öffnen

Quelle(n):
Bleeping Computer

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

Mit der Anmeldung erklärst Du dich mit unseren Nutzungsbedingungen einverstanden und erkennst die Datenschutzerklärung an. Die Nutzung der E-Mail-Adresse erfolgt ausschließlich für den Versand des Newsletters. Du kannst dich jederzeit wieder abmelden. Die Zustellung des E-Mail-Newsletters erfolgt täglich zwischen 20:00 und 21:00 Uhr deutscher Zeit. Zugestellt wird der Newsletter von MailChimp.

Wenn du ein Mensch bist, lasse das Feld leer: