На странице авторизации Google обнаружена уязвимость белого списка, позволяющая злоумышленнику перенаправлять пользователей на произвольные страницы или загрузить вредоносный код, предупреждает эксперт по безопасности Эйдан Вудс (Aidan Woods).
По мнению исследователя, страница авторизации Google принимает уязвимый параметр GET ‘continue’, который должен указывать на сервис Google, но не проверяет тип сервиса, который был указан. Таким образом, злоумышленник может вставить любое требуемое значение в конце процесса входа в систему.
Из-за этой уязвимости злоумышленник может загрузить файлы с помощью Google Drive, а также установить редиректы с помощью различных сервисов.
Для того, чтобы использовать эту уязвимость для редиректа, злоумышленник должен установить значение уязвимого параметра “continue=https://www.google.com/amp/example.com#identifier,”, это позволит отправить пользователя на произвольную страницу после входа в систему, эксперт. Таким образом, легитимная страница авторизации Google может использоваться для фишинговых атак.
Вудс приводит следующий пример атаки – пользователь может быть перенаправлен на страницу, которая будет утверждать, что пароль или логин были введены неправильно и попросить еще раз ввести их, так данные пользователя могут попасть в руки злоумышленников.
Исследователь также объясняет, что параметр ‘continue’ принимает домен docs.google.com в качестве значения, это значит, что злоумышленник может загрузить любой файл, находящийся в Google Drive, если только для него была создана ссылка общего доступа. Более того, злоумышленник может указать прямой путь для загрузки файла и он будет загружен браузером не выходя из легитимной страницы входа в систему Google. Пользователь в этом случае будет думать, что файл загружается самим Google.
Исследователь говорит, что он был в состоянии успешно загрузить как .html, так и EXE-файлы, не покидая страницы входа в систему.
Вудс также отмечает, что пользователи могут избежать опасности, просто проверяя URL на каждом этапе входа в систему, либо не кликать на ссылки, которые не поступают непосредственно от Google. Также никогда не стоит запускать файлы, которые якобы идут от Google в процессе входа в систему.
Эксперт утверждает, что послал Google три различных отчета на тему наличия уязвимости. Только на третий отчет был дан ответ, что эта ситуация не будет отслеживаться как ошибка безопасности.
Тем не менее, Вудс считает, что уязвимость вполне реальна, и что публичное раскрытие информации может заставить Google изменить свою позицию по этому вопросу. Он даже опубликовал с подробным описанием уязвимости.
Как выяснили специалисты центра исследования безопасности промышленных систем Kaspersky ICS CERT, в первом квартале 2024 года 23,6% компьютеров в сетях российских АСУ ТП столкнулись с проникновение вредоносных программ.
Интересно, что за этот же период в 2023 году таких устройств было 27,9%, то есть имеем снижение на 4,3 процентных пункта. Тем не менее такие атаки становятся более сложными и целенаправленными.
На конференции Kaspersky CyberSecurity Weekend прозвучала мысль, что более сложные кибератаки на АСУ ТП, даже если их меньше, способны нанести серьёзный урон промышленной сфере.
На инфографике ниже эксперты приводят долю компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, по кварталам:
Некоторые отрасли в России отметились тем, что в них доля заражённых объектов оказалась выше, чем в среднем по миру. Взять, к примеру, строительство: 24,2% в нашей стране против 23,7% по всему миру. В инжиниринге и у интеграторов АСУ — 27,2% против 24%
Как отметили в Kaspersky ICS CERT, в России особенно наблюдаются атаки киберпреступников на интеграторов, доверенных партнёров и подрядчиков.
Самые основные векторы, как и прежде, — фишинг через веб-страницы и по электронной почте. В первом квартале 2024-го в России вредоносные ресурсы были заблокированы на 7,5% компьютеров АСУ ТП.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
