CloudSEK 研究人员分析了一个零日漏洞，该漏洞可以通过令牌操作生成持久性 Google cookie。

2023 年 10 月，一位名为 PRISMA 的开发人员首次发现了一个漏洞，该漏洞允许通过令牌操作生成持久性 Google cookie。即使用户密码重置后，攻击者也可以利用该漏洞访问 Google 服务。

CloudSEK 对漏洞进行了逆向工程，发现它依赖于一个名为“MultiLogin”的未记录的 Google OAuth 端点。

MultiLogin 端点是一种内部机制，允许跨服务同步 Google 帐户。

该端点接收包含帐户 ID 和身份验证登录令牌的向量，以有效处理并发会话或在用户配置文件之间无缝转换。

Lumma Infostealer 于 11 月 14 日被发现使用该漏洞。随后，其他恶意软件也集成了该漏洞，包括 Rhadamanthys、Risepro、Meduza、Stealc Stealer 以及最近的 White Snake。

研究人员发现，该恶意软件以 Chrome 的 WebData token_service 表为目标，提取登录的 Chrome 配置文件的令牌和帐户 ID。

“该表包含两个关键列：服务（GAIA ID）和加密令牌。加密的令牌使用存储在 UserData 目录中的 Chrome 本地状态中的加密密钥进行解密，类似于用于存储密码的加密。” 阅读CloudSEK 发布的报告：https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking

token_service表的结构

Lumma 恶意软件通过操纵 token:GAIA ID 对不断为 Google 服务重新生成 cookie。专家指出，即使用户重置密码后，该漏洞仍然有效。

“这种持续的访问允许对用户帐户和数据进行长期且可能不被注意的利用。” 报告继续。

重置密码后成功重新生成 Cookie

“对源代码中发现的用户代理字符串的分析如图 7 所示 (com.google.Drive/6.0.230903 iSL/3.4 iPhone/15.7.4 hw/iPhone9_4 (gzip)) 表明，对 Google Drive 的渗透测试Apple 设备上的服务是该漏洞的潜在来源。该漏洞的测试不完善，导致其来源被泄露。” 报告总结道。

图 7 逆向工程利用代码显示了被利用的端点。

目前，Google 尚未确认威胁行为者正在 MultiLogin 端点中使用零日漏洞。

此外，Hudson Rock 采访了一位开发人员，该开发人员声称他们早在 10 月份就提出了这个 0day 漏洞，并且正在独立出售它。他们向我们发送了一段有关该漏洞的视频，您可以在此处观看 -  https://www.youtube.com/watch?v=NzAtZzzFoOs

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里