绕过传统的安全措施
传统上,公司专注于监控众所周知的横向移动技术,尤其是与 Active Directory (AD) 环境相关的技术。但是,将 Google 帐户与本地 AD 同步的 Google Credential Provider for Windows (GCPW) 等 SSO 工具提供了不太明显的攻击媒介。GCPW 可在 Windows 10 和 Windows 11 设备中注册为凭据提供程序,从而促进跨 Windows 10 和 Windows 11 设备的无缝 SSO 体验。因此,它可以为那些有恶意的人解锁大量的攻击面。
Bitdefender强调,攻击者如何通过设备管理获得对组织Google Workspace的管理控制权,可以将恶意有效负载推送到所有托管系统。该攻击可能会扩展到谷歌云平台(GCP),从而破坏一系列数据和服务。
令牌盗窃和利用
利用过程从鱼叉式网络钓鱼攻击开始,一旦成功,攻击者就可以挖掘与员工的 Google 帐户关联的刷新令牌。此刷新令牌至关重要,因为它可以在 Google 服务上保持活跃的用户会话,而无需经常重新进行身份验证。虽然以加密方式存储,但如果在原始系统上执行,取证工具可以解密这些令牌。
如果用户具有特权访问权限,则攻击者能够获取这些令牌,从而提供对用户的 Google Workspace 应用和管理设置的广泛访问权限。其影响范围从数据提取到创建影子管理帐户以维持长时间未经授权的访问,特别是涉及组织是否利用 Google Cloud 资源进行软件开发和其他关键功能。
Bitdefender已通知Google有关刷新令牌和明文密码的解密,但该问题不在Google当前的安全威胁模型中,因为该漏洞利用需要事先破坏本地设备。
专家建议,尽管云服务与本地基础设施集成,但组织不应假定固有的安全性。相反,建议对所有集成进行强大的监控、合理的访问控制和警报,以防止此类漏洞。
混合环境时代的安全问题
随着组织越来越多地采用混合环境,将本地基础设施与基于云的服务桥接起来,与 SSO 相关的攻击风险凸显了包含这些集成的警惕安全实践的必要性。安全社区的研究结果提倡分层安全策略,该策略不仅在传统网络边界内实施严格的监控,而且还将保护措施扩展到基于云的集成,否则这些集成可能会成为网络攻击者利用的网关。
