Zero-day lek maakt Google-accounts kwetsbaar
Een zero-day kwetsbaarheid maakt Google-accounts kwetsbaar voor kwaadwillenden. Zij kunnen een verlopen cookiesessie van Google Chrome-gebruikers herstellen, en zo toegang krijgen tot hun accounts. Ook indien zij hun wachtwoord wijzigen.
Hiervoor waarschuwen de beveiligingsbedrijven Hudson Rock en CloudSek. Het gaat om een kwetsbaarheid in het autorisatieprotocol OAuth2, die inmiddels door meerdere malwarevarianten actief wordt uitgebuit. Via de kwetsbaarheid kunnen kwaadwillenden verlopen sessiecookies te herstellen. Deze cookies omvatten authentificatie-informatie en laten gebruikers automatisch inloggen op websites en diensten. Indien een gebruiker uitlogt of zijn of haar wachtwoord wijzigt verloopt de sessiecookie.
Al verwerkt in malware
In de praktijk blijkt het echter mogelijk een dergelijke verlopen sessiecookie te herstellen, waarschuwen de onderzoekers. Zij zagen de exploit onlangs opduiken in de Infostealer-malware van Lumma, en wisten deze ook terug te leiden naar de Google OAuth-endpoint MultiLogin, waarmee Google Google-accounts synchroniseert.
CloudSek meldt aan Bleeping Computer erin te zijn geslaagd de exploit te reserve-engineeren. Het meldt dat verlopen sessiecookies slechts eenmaal hersteld kunnen worden. Dit betekent in de praktijk onder meer dat het na een wachtwoordwijziging slechts korte tijd mogelijk is de verlopen sessiecookie te herstellen.
Meer over Security
Over Wouter Hoeffnagel
