Cyberthreat.id - Google Workspace dan Google Cloud Platform menjadi sasaran serangkaian metode serangan baru. Tujuan pelaku ancaman untuk menyusupkan ransomware, eksfiltrasi data, dan pemulihan sandi.

Direktur Solusi Teknis Bitdefender, Martin Zugec, mengatakan dalam sebuah laporan terbarunya sebagaimana dikutip The Hacker News, serangan tersebut mulai dari satu mesin yang disusupi, pelaku ancaman dapat berkembang dalam beberapa cara:

“Mereka dapat berpindah ke mesin kloning lain yang telah menginstal GCPW (Google Credential Provider for Windows), mendapatkan akses ke platform cloud dengan izin khusus, atau mendekripsi sandi yang disimpan secara lokal untuk melanjutkan serangan mereka di luar ekosistem Google."

Prasyarat untuk serangan ini adalah bahwa pelaku kejahatan telah mendapatkan akses ke mesin lokal melalui cara lain, sehingga mendorong Google menandai bug tersebut sebagai tidak memenuhi syarat untuk diperbaiki "karena ini di luar model ancaman kami dan perilakunya sejalan dengan praktik Chrome menyimpan data lokal."

Namun, perusahaan keamanan siber Rumania telah memperingatkan bahwa pelaku ancaman dapat mengeksploitasi celah tersebut untuk memperluas kompromi titik akhir tunggal hingga pelanggaran jaringan yang luas.

Singkatnya, serangan ini bergantung pada penggunaan GCPW oleh organisasi, yang menawarkan mobile device management (MDM) dan kemampuan single sign-on (SSO).

Hal ini memungkinkan administrator mengelola dan mengontrol perangkat Windows dari jarak jauh dalam lingkungan Google Workspace mereka, serta memungkinkan pengguna mengakses perangkat Windows mereka menggunakan kredensial yang sama yang digunakan untuk login ke akun Google mereka.

Platform Cloud untuk Serangan Ransomware

GCPW dirancang untuk menggunakan akun layanan istimewa lokal bernama Google Accounts and ID Administration (GAIA) untuk memfasilitasi proses di latar belakang secara lancar dengan menghubungkan ke Google API untuk memverifikasi kredensial pengguna selama langkah login dan menyimpan token penyegaran untuk menghindari perlunya otentikasi ulang.

Dengan pengaturan ini, penyerang yang memiliki akses ke mesin yang disusupi dapat mengekstrak token OAuth penyegaran akun, baik dari registri Windows atau dari direktori profil Chrome pengguna, dan melewati perlindungan autentikasi multifaktor (MFA).

Token penyegaran selanjutnya digunakan untuk membuat permintaan HTTP POST ke titik akhir "https://www.googleapis[.]com/oauth2/v4/token" untuk mendapatkan token akses, yang, pada gilirannya, dapat disalahgunakan untuk mengambil, memanipulasi, atau menghapus data sensitif yang terkait dengan Akun Google.

Eksploitasi kedua menyangkut apa yang disebut gerakan lateral Golden Image, yang berfokus pada penerapan mesin virtual (VM) dan memanfaatkan fakta bahwa membuat mesin dengan mengkloning mesin lain dengan GCPW yang sudah diinstal sebelumnya menyebabkan sandi yang dikaitkan dengan akun GAIA menjadi tidak valid.

“Jika Anda mengetahui kata sandi untuk akun lokal, dan akun lokal di semua mesin berbagi kata sandi yang sama, maka Anda mengetahui kata sandi untuk semua mesin,” jelas Zugec.

“Tantangan kata sandi bersama ini mirip dengan memiliki kata sandi administrator lokal yang sama di semua mesin yang telah diatasi oleh Local Administrator Password Solution  (LAPS) Microsoft.”

Serangan ketiga memerlukan akses ke kredensial teks biasa dengan memanfaatkan token akses yang diperoleh menggunakan teknik yang disebutkan di atas untuk mengirim permintaan HTTP GET ke titik akhir API yang tidak berdokumen dan mendapatkan kunci RSA pribadi yang diperlukan untuk mendekripsi bidang kata sandi.

“Memiliki akses terhadap kredensial teks biasa, seperti nama pengguna dan kata sandi, merupakan ancaman yang lebih parah,” kata Zugec. “Hal ini karena memungkinkan penyerang untuk secara langsung menyamar sebagai pengguna yang sah dan mendapatkan akses tidak terbatas ke akun mereka, yang berpotensi menyebabkan pengambilalihan akun sepenuhnya.”[]