Эксперт обнаружил уязвимость на странице авторизации Google

Эксперт обнаружил уязвимость на странице авторизации Google

На странице авторизации Google обнаружена уязвимость белого списка, позволяющая злоумышленнику перенаправлять пользователей на произвольные страницы или загрузить вредоносный код, предупреждает эксперт по безопасности Эйдан Вудс (Aidan Woods).

По мнению исследователя, страница авторизации Google принимает уязвимый параметр GET ‘continue’, который должен указывать на сервис Google, но не проверяет тип сервиса, который был указан. Таким образом, злоумышленник может вставить любое требуемое значение в конце процесса входа в систему.

Из-за этой уязвимости злоумышленник может загрузить файлы с помощью Google Drive, а также установить редиректы с помощью различных сервисов.

Для того, чтобы использовать эту уязвимость для редиректа, злоумышленник должен установить значение уязвимого параметра “continue=https://www.google.com/amp/example.com#identifier,”, это позволит отправить пользователя на произвольную страницу после входа в систему, объясняет эксперт. Таким образом, легитимная страница авторизации Google может использоваться для фишинговых атак.

Вудс приводит следующий пример атаки – пользователь может быть перенаправлен на страницу, которая будет утверждать, что пароль или логин были введены неправильно и попросить еще раз ввести их, так данные пользователя могут попасть в руки злоумышленников. 

Исследователь также объясняет, что параметр ‘continue’ принимает домен docs.google.com в качестве значения, это значит, что злоумышленник может загрузить любой файл, находящийся в Google Drive, если только для него была создана ссылка общего доступа. Более того, злоумышленник может указать прямой путь для загрузки файла и он будет загружен браузером не выходя из легитимной страницы входа в систему Google. Пользователь в этом случае будет думать, что файл загружается самим Google.

Исследователь говорит, что он был в состоянии успешно загрузить как .html, так и EXE-файлы, не покидая страницы входа в систему. 

Вудс также отмечает, что пользователи могут избежать опасности, просто проверяя URL на каждом этапе входа в систему, либо не кликать на ссылки, которые не поступают непосредственно от Google. Также никогда не стоит запускать файлы, которые якобы идут от Google в процессе входа в систему.

Эксперт утверждает, что послал Google три различных отчета на тему наличия уязвимости. Только на третий отчет был дан ответ, что эта ситуация не будет отслеживаться как ошибка безопасности.

Тем не менее, Вудс считает, что уязвимость вполне реальна, и что публичное раскрытие информации может заставить Google изменить свою позицию по этому вопросу. Он даже опубликовал видео с подробным описанием уязвимости.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Chrome две 0-day, показанные на Pwn2Own 2024

Google оперативно устранила в Chrome две уязвимости нулевого дня (0-day), которые исследователи показали в ходе соревнования Pwn2Own 2024. Помимо этого, разработчики закрыли ещё пять дыр в браузере.

Одна из 0-day получила идентификатор CVE-2024-2887 и высокую степень риска. Класс этой бреши — несоответствие используемых типов данных (type confusion) в стандарте WebAssembly (Wasm).

На эту уязвимость указал Манфред Пол в первый день состязания Pwn2Own 2024, проходившего в Ванкувере. Эксперт также «пробил» и другие браузеры: Safari и Edge.

Вторую 0-day нашли исследователи из KAIST Hacking Lab. Её отслеживают под идентификатором CVE-2024-2886 (ошибка использования динамической памяти — use-after-free). Брешь затрагивает API WebCodecs, предназначенный для кодирования и декодирования аудио- и видеоконтента.

Сынхён Ли из KAIST Hacking Lab продемонстрировал удалённое выполнение кода на устройстве целевого пользователя с помощью эксплойта для CVE-2024-2886.

С выходом Google Chrome версий 123.0.6312.86/.87 (для Windows, macOS) и 123.0.6312.86 (для Linux) разработчики устранили перечисленные проблемы.

Напомним, на днях Mozilla тоже закрыла две 0-day в Firefox, показанные на Pwn2Own 2024. Девелоперы браузеров отработали качественно и оперативно, что не может не радовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru