Haben Sie versucht, es aus- und wieder anzuschalten? Das war der Ratschlag, den Roy, ein leidgeprüfter Support-Techniker, in der kultigen TV-Sitcom The IT Crowd gab, die 2013 endete. Jetzt empfiehlt Google denselben Ratschlag im Jahr 2024 für Google Mail-Nutzer, nachdem berichtet wurde, dass ein Angriff, der gegen Passwortänderungen resistent ist, von Angreifern ausgenutzt wird, um Informationen zu stehlen.
Angreifer loggen sich immer wieder in Google-Konten ein
In einer am 29. Dezember veröffentlichten Adversary Intelligence-Analyse beschreibt der CloudSEK-Forscher Pavan Karthick M, wie Google-Konten durch Ausnutzung eines nicht dokumentierten Authentifizierungsendpunkts, der für die dienstübergreifende Synchronisierung verwendet wird, kompromittiert werden können. Es wurde festgestellt, dass Angreifer diesen Endpunkt nutzen, um Sitzungscookies auszunutzen, mit denen sie sich bei Google-Nutzerkonten anmelden können, ohne ihre Anmeldedaten eingeben zu müssen. Dies könnte dann den Zugriff auf den Heiligen Gral der Sicherheit ermöglichen, nämlich den Posteingang von Google Mail.
Die erste Erwähnung dieser Schwachstelle erfolgte am 20. Oktober in einem russischsprachigen Telegram-Kanal. Bereits am 14. November war bekannt, dass er in Malware enthalten war, die von der Lumia-Kriminellengruppe verwendet und bald darauf von anderen Bedrohungsakteuren übernommen wurde. Erst am 27. Dezember wurden Bedrohungsakteure im Dark Web gesichtet, die die Verwendung dieses Exploits gegen Google-Kontositzungscookies demonstrierten.
Ändern des Google-Passworts schützt nicht vor Angriffen
So weit, so ” mühselig ” aus der Perspektive der unerwarteten Gefahren. Schließlich nutzen Angreifer Session-Cookie-Hijacks schon seit geraumer Zeit. Nun, nicht ganz so lange, da Sitzungscookies in der Regel mit einer Zeitüberschreitung versehen sind, die ihre weitere Verwendung verhindert. An dieser Stelle wird diese spezielle Sicherheitslücke interessant. Laut der CloudSEK-Bedrohungsanalyse können abgelaufene Sitzungscookies wiederhergestellt werden, um den Angreifern einen fortgesetzten und verlängerten Zugriff zu ermöglichen. Darüber hinaus heißt es in der Untersuchung, dass der Exploit einen kontinuierlichen Zugriff auf Google-Dienste ermöglicht, selbst nachdem die Nutzer ihre Passwörter zurückgesetzt haben.