WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Nguy cơ phát tán malware từ lỗ hổng ngôn ngữ lập trình Google Apps Script
Nghiên cứu từ công ty an ninh Proofpoint cho thấy một cơ chế mà Google Apps Script có thể bị lợi dụng để phát tán malware.
Ngày 4/1, công ty này đã đưa ra cảnh báo về một phương thức tấn công mới có thể cho phép các hacker sử dụng Google Apps Script để nhắm vào người dùng điện toán đám mây.
Google Apps Script là ngôn ngữ dựa trên JavaScript được dùng trong các ứng dụng của bộ ứng dụng điện toán đám mây G Suite bao gồm Docs, Sheets, Slides và Forms. Mục đích của ngôn ngữ này là giúp các nhà phát triển và tổ chức mở rộng chức năng trong các ứng dụng của Google, cho phép các ứng dụng thực hiện các chức năng và menu tùy chỉnh.
Proofpoint đã phát hiện ra một lỗ hổng trong Google Apps Script có thể cho phép kẻ tấn công tải malware tới hệ thống của người dùng.
Theo chuyên gia nghiên cứu Maor Bin của Proofpoint, Google Apps Script và các tính năng chia sẻ tài liệu thông thường được tích hợp trên Google Apps đều có nguy tải malware tự động. “Chúng tôi cũng xác nhận rằng có thể thực hiện việc khai thác để tấn công kiểu này mà không cần sự tương tác của người dùng”.
Hacker có thể lợi dụng lỗ hổng của Google Apps Script để phát tán bất kỳ hình thức malware hoặc file nào tới các nạn nhân.
Chuyên gia này cho biết: "Chúng tôi phát hiện lỗ hổng này khi đang nghiên cứu an ninh trên Google Apps Scripts, không phải từ một cuộc tấn công. Sau khi thông báo tới Google, họ đã thực hiện các biện pháp để ngăn chặn kẻ tấn công khai thác nó”.
Theo Bin, hiện tại Google Apps Script đã chặn các hành vi có tên "installable triggers" có thể đã cho phép những người xây dựng script tự động cài đặt một tệp tin.
Safe Browsing
Google có công nghệ Safe Browsing (Duyệt web An toàn) để kiểm tra các URL và xác định một trang web có lưu trữ malware hay không. Safe Browsing được tích hợp trực tiếp vào Google Chrome cũng như Firefox của Mozilla để bảo vệ người dùng truy cập các trang web lưu trữ malware. Theo Bin, Safe Browsing có thể sẽ không ngăn cản được người dùng bị tấn công bởi malware được phát tán qua Google Apps Script chứa mã độc chuyển hướng người dùng.
Chuyên gia này cho biết, "API Safe Browsing của Google bảo vệ hiệu quả người dùng cuối trước nhiều mối đe dọa dựa trên web bao gồm các trang lừa đảo và các trang web được biết đến chứa phần mềm độc hại. Tuy nhiên, lỗ hổng này có thể cho phép các hacker lưu trữ malware trên Google Drive và phát tán malware đó từ một tài liệu Google Apps, hạn chế hiệu quả của công nghệ Safe Browsing”.
Cũng theo chuyên gia này các trang web không nằm trong danh sách đen Safe Browsing của Google sẽ vượt qua được việc chặn chủ động thông qua API.
Mặc dù Google đã có phương án giảm thiểu nguy cơ từ cách thức tấn công mới này, nhưng các rủi ro khác liên quan đến tài liệu và dữ liệu trên đám mây vẫn tồn tại. Người dùng được khuyến cáo cảnh giác với bất kỳ liên kết email hoặc file đính kèm nào.
"Người nhận cũng nên thận trọng khi click vào các liên kết tới Google Docs trừ khi họ biết hoặc có thể xác minh được người gửi".
Google Apps Script là ngôn ngữ dựa trên JavaScript được dùng trong các ứng dụng của bộ ứng dụng điện toán đám mây G Suite bao gồm Docs, Sheets, Slides và Forms. Mục đích của ngôn ngữ này là giúp các nhà phát triển và tổ chức mở rộng chức năng trong các ứng dụng của Google, cho phép các ứng dụng thực hiện các chức năng và menu tùy chỉnh.
Proofpoint đã phát hiện ra một lỗ hổng trong Google Apps Script có thể cho phép kẻ tấn công tải malware tới hệ thống của người dùng.
Theo chuyên gia nghiên cứu Maor Bin của Proofpoint, Google Apps Script và các tính năng chia sẻ tài liệu thông thường được tích hợp trên Google Apps đều có nguy tải malware tự động. “Chúng tôi cũng xác nhận rằng có thể thực hiện việc khai thác để tấn công kiểu này mà không cần sự tương tác của người dùng”.
Hacker có thể lợi dụng lỗ hổng của Google Apps Script để phát tán bất kỳ hình thức malware hoặc file nào tới các nạn nhân.
Chuyên gia này cho biết: "Chúng tôi phát hiện lỗ hổng này khi đang nghiên cứu an ninh trên Google Apps Scripts, không phải từ một cuộc tấn công. Sau khi thông báo tới Google, họ đã thực hiện các biện pháp để ngăn chặn kẻ tấn công khai thác nó”.
Theo Bin, hiện tại Google Apps Script đã chặn các hành vi có tên "installable triggers" có thể đã cho phép những người xây dựng script tự động cài đặt một tệp tin.
Safe Browsing
Google có công nghệ Safe Browsing (Duyệt web An toàn) để kiểm tra các URL và xác định một trang web có lưu trữ malware hay không. Safe Browsing được tích hợp trực tiếp vào Google Chrome cũng như Firefox của Mozilla để bảo vệ người dùng truy cập các trang web lưu trữ malware. Theo Bin, Safe Browsing có thể sẽ không ngăn cản được người dùng bị tấn công bởi malware được phát tán qua Google Apps Script chứa mã độc chuyển hướng người dùng.
Chuyên gia này cho biết, "API Safe Browsing của Google bảo vệ hiệu quả người dùng cuối trước nhiều mối đe dọa dựa trên web bao gồm các trang lừa đảo và các trang web được biết đến chứa phần mềm độc hại. Tuy nhiên, lỗ hổng này có thể cho phép các hacker lưu trữ malware trên Google Drive và phát tán malware đó từ một tài liệu Google Apps, hạn chế hiệu quả của công nghệ Safe Browsing”.
Cũng theo chuyên gia này các trang web không nằm trong danh sách đen Safe Browsing của Google sẽ vượt qua được việc chặn chủ động thông qua API.
Mặc dù Google đã có phương án giảm thiểu nguy cơ từ cách thức tấn công mới này, nhưng các rủi ro khác liên quan đến tài liệu và dữ liệu trên đám mây vẫn tồn tại. Người dùng được khuyến cáo cảnh giác với bất kỳ liên kết email hoặc file đính kèm nào.
"Người nhận cũng nên thận trọng khi click vào các liên kết tới Google Docs trừ khi họ biết hoặc có thể xác minh được người gửi".
Theo eweek