Google-Konten in Gefahr: Exploit erlaubt böswilligen Zugriff trotz Passwort-Reset

Schon im November 2023 hatten die Entwickler der Malware Lumma und Rhadamanthys neue Features eingeführt, die eine Reaktivierung abgelaufener Google-Sitzungscookies ermöglichen sollten. Sicherheitsforscher von CloudSEK haben inzwischen die Schwachstelle identifiziert, die die böswilligen Akteure dafür ausnutzen. Der Angriff erfolgt wohl über einen undokumentierten Google-OAuth-Endpunkt namens Multilogin.

Erstmals enthüllt wurde der Exploit dem Bericht der Forscher zufolge am 20. Oktober 2023 von einem Entwickler namens Prisma via Telegram. Später wurde er in mehrere Infostealer eingebaut, darunter Lumma, Rhadamanthys, Risepro, Meduza, Stealc Stealer und White Snake. Weitere Malware-Entwickler arbeiten wohl an entsprechenden Updates.

Durch den Exploit sei es möglich, abgelaufene Sitzungscookies durch Token-Manipulation wiederherzustellen und dadurch einen dauerhaften Zugriff auf die Google-Dienste einer Zielperson zu erlangen – selbst wenn diese ihr Passwort zurückgesetzt habe. Voraussetzung dafür ist jedoch, dass die Malware Zugang zu einem bestehenden Sitzungscookie erhält.

Angriff via Multilogin-Endpunkt

Die Funktionsweise des Exploits konnten die Forscher durch Reverse-Engineering nachvollziehen. Im Rahmen ihrer an der Lumma-Malware durchgeführten Untersuchungen stießen sie auf den Multilogin-Endpunkt, bei dem es sich wohl um einen internen Mechanismus für die Synchronisierung von Google-Konten über verschiedene Dienste hinweg handelt.

"Er erleichtert ein konsistentes Nutzererlebnis, indem er sicherstellt, dass die Account-Zustände im Browser mit den Authentifizierungs-Cookies von Google übereinstimmen", erklären die Forscher. Der Endpunkt akzeptiere einen Vektor aus Konto-IDs und Authentifizierungs-Token. Für die Verwaltung gleichzeitiger Sitzungen oder den nahtlosen Wechsel zwischen Benutzerprofilen seien diese Daten unerlässlich.

Jedoch lasse sich der Endpunkt durch eine gezielte Manipulation des jeweils übergebenen Datenpaares ausnutzen, um Google-Service-Cookies neu zu generieren. Bei Lumma komme sogar eine Verschlüsselung zum Einsatz, um die Kernkomponente des Exploits sowie den Ausnutzungsprozess zu verschleiern und eine Erkennung durch gängige Sicherheitslösungen zu umgehen.

Google scheint sich des Problems bewusst zu sein

Laut Bleeping Computer hat Google wohl schon versucht, einer Ausnutzung durch Abhilfemaßnahmen entgegenzuwirken. Der Entwickler von Lumma habe jedoch Updates für seine Malware bereitgestellt, um Googles Maßnahmen zur Missbrauchserkennung zu umgehen. Eine offizielle Stellungnahme zum Missbrauch des Multilogin-Endpunkts gibt es seitens Google wohl noch nicht. Dass dem Unternehmen das Problem bekannt ist, ist angesichts der Abhilfemaßnahmen aber anzunehmen.