由于至少2011年[1] [2],信息安全研究人员试图提高对攻击者可以创建看似合法的应用程序的轻松的认识,然后欺骗用户授予他们访问电子邮件和云服务帐户。2017年5月分布的谷歌OAuth蠕虫利用这种缺乏验证,这影响了超过一百万的G套房用户[3]。在此次广告系列之后,谷歌介绍了围绕新OAuth客户选择的名称的验证。
虽然谷歌对该具体攻击迅速回复,截至2017年5月,恶意开发人员仍然可以为新的OAuth客户端提交任何名称 - 包括脚本,第三方应用程序和扩展。校样点SaaS威胁研究人员确定有可能绕过这些验证,为谷歌OAuth客户端提供脚本的名称.Google [。] com。
分析
本技术的原始2011描述预计自如此多年来出现的基于应用的基于应用的攻击广泛的应用程序的攻击广泛。“恶意客户端开发人员用似乎代表资源所有者可能相信的合法组织的名称注册了他的客户端应用程序”[1]。
虽然在可能疫情爆发后所做的减轻术语,但它们没有解决技术的根源,这是基于谷歌允许用户在“script.google.com”的URL上为自己的内容提供服务的事实。“本身至少部分是OAuth客户端空间的开放性的一个因素。许多App用户 - 组织和个人一样 - 并不知道,与在安全性方面发挥的移动市场(播放,应用商店等)不同,以部署不同的措施和流程,以便在允许任何人之前检查提交给他们的申请要使用它们,OAuth客户端空间历史上没有对开发人员的潜在行动进行检查。因此,任何开发人员都可以构建任何应用程序,询问他们考虑所需的任何权限,并将该应用程序发送给其他任何人 - 以及在Script.Google.com上使用URL提供的过程中的应用程序
2017年5月OAuth Worm Campaign [3]提醒更广泛的公众潜在的这些应用的风险。原始攻击包括一个可识别的URL,这引出了一些解决方案来尝试通过阻止返回URL来缓解攻击。10bet中文网但是,这种方法没有消除利用本身,因为未来的版本可以通过不包括返回URL来容易地抵制这些对策,或者使用与任何有效的Google脚本URL无法区分的URL来抵消这些对策。相反,分析应用程序以防御未来的攻击,要求将其他功能(如权限,应用程序创建者,收件人(或受害者),应用程序名称,上下文和其他人的攻击提供分解到决定中。例如,OAuth Worm使用罕见的电子邮件许可,通常只能通过选择电子邮件客户端(例如Outlook)与另一个权限结合使用。特定组合是唯一的,并且任何其他OAuth客户端校样点都没有使用过。此属性以及其他参数,给出了应用最高风险评分校样点SaaS保护可以分配。
遵循OAuth蠕虫爆发,在此分析中构建的校样点SaaS安全研究人员在Google Apps中发现了一种漏洞,尽管谷歌所做的缓解,但仍可携带类似攻击的攻击。在这种情况下,我们的研究人员能够创建一个名为“Google Docs”或“Google Drive”的应用程序,绕过谷歌在2017年5月攻击后介绍的一些保护。使用此技术,然后攻击者可以启动类似的攻击者网络钓鱼活动,但这次与较少可疑的链接 - 更有可能诱惑 - 比可能的活动(图1)。
图1:G套件应用攻击使用校对点研究人员报告的技术
在验证点研究人员向谷歌报告这个问题后,谷歌采取了行动来解决第二天,而且已经努力使潜在的受害者更加了解这些应用程序的风险。一种2017年7月19日,更新为新的Web应用程序和应用程序脚本添加了一个新的“未验证的应用程序”屏幕,需要验证,替换今天未验证的Web应用程序的开发人员接收的上一个“错误”页面。通过将验证过程扩展到现有应用程序,将在未来几个月遵循此更新。在伴随着更新的声明中,谷歌代表说:“我们重视研究人员的工作,帮助您保持谷歌用户的安全。我们已经修复了向我们报告的欺骗漏洞校验点,我们最近宣布了适用的新的谷歌网络钓鱼保护保护到应用程序脚本也是如此。“
建议书
萨斯申请的广泛采用使这是一个有吸引力的和尚未利用的威胁演员的传染媒介。应用威胁将迅速发展,因为攻击者寻找使用基于云的应用程序和服务来定位个人和组织的新方法。为了保护自己和您的组织对抗这些攻击,我们建议您为您或您的用户想要安装的每个应用程序:
- 验证应用程序开发人员的真实性包括为您的企业的白名单应用程序。
- 了解在安装之前应用程序在做什么。
- 如果您安装了嫌疑人,未验证的应用程序,请通过https://myaccount.google.com/permissions撤销权限
还有一个新一代的解决方案,用于捍卫SaaS应用程序和用户来自这些快速10bet中文网发展的威胁。组织应考虑通过威胁行动者准备下一个创新的信息安全基础设施的下一代SaaS防御解决方案。10bet中文网
参考
[1] 2011年10月4日,“与客户申请名称欺骗的网络钓鱼”,https://www.ietf.org/mail-archive/web/oauth/current/msg07625.html.
[2] 2014年9月8日,“Google Auth Flow中的安全通信不良”,http://blog.andrewcantino.com/blog/2014/09/08/example-of-poor-security-communication-in-google-auth-flow/
[3] 2017年5月3日,“大规模谷歌文档网络钓鱼攻击今天席卷了互联网”,https://thenextweb.com/security/2017/05/03/massive-google-docs-phishing-attack-currunte-sweeping- internet/#.tnw_gnbsrbkk.
订阅校对点博客