Аналитики нашли метод простого доступа к аккаунтам пользователей в популярных облачных сервисах Dropbox, Google Drive, Microsoft OneDrive и Box. Злоумышленник может получить постоянный доступ к пользовательским папкам, не вызвав подозрений у антивирусов и сетевых экранов. Хакеры могут легко получить доступ ко всем пользовательским файлам в облачных хранилищах Dropbox, Google Drive, Microsoft OneDrive и Box, если смогут проникнуть в компьютер, на котором установлены клиенты для этих сервисов, утверждают аналитики компании Imperva. При этом знать логины и пароли к учетным записям им не потребуется. Исследователи выяснили, что все из указанных сервисов предоставляют непрерывный доступ приложений-клиентов к серверам с помощью токенов, которые генерируются при первой аутентификации пользователя. Эти токены хранятся на ПК в специальных файлах, в реестре Windows или в Windows Credential Manager (зависит от приложения). Аналитики написали приложение под названием Switcher, которое способно проникать на компьютер жертвы в виде вложения в почтовом сообщении или через уязвимость в браузере. Попав на машину, Switcher заменяет токен для доступа к аккаунту в определенном облачном сервисе на свой собственный, связанный с учетной записью злоумышленника. Затем Switcher перезагружает приложение-клиент облачного сервиса, после чего оно уже использует подменный токен. В результате синхронизация папки на ПК пользователя происходит с облачным аккаунтом злоумышленника. Switcher помещает в эту папку копию подлинного токена, которую он создал заранее. Таким образом, хакер получает в свое распоряжение не только файлы жертвы, но и токен для последующего доступа к аккаунту жертвы уже со своего компьютера. По словам аналитиков, данная уязвимость открывает хакерам широкие возможности. Например, воспользовавшись инструментом Windows Management Instrumentation, они могут настроить автоматическую синхронизацию с аккаунтом злоумышленника тогда, когда в папку на ПК попадает определенный файл. После этого злоумышленник сможет иметь доступ к файлам жертвы всегда, даже если Switcher будет удален с компьютера. Или, в другом случае, хакер сможет зашифровывать персональные данные пользователя, которые он хранит в облаке, и затем требовать деньги за расшифровку. Этим методом промышляют набирающие популярность в последние годы программы-вымогатели. По словам технического директора Imperva Амичая Шульмана (Amichai Shulman), такие программы, как Switcher, трудно обнаружить антивирусам, так как они не ведут какую-либо подозрительную активность. Кроме того, Switcher может не записываться на накопитель и выполнять все приготовления из оперативной памяти. В свою очередь, сетевые экраны также не смогут помочь в защите от подобной атаки, так как по сетевым соединениям будет проходить легитимный зашифрованный трафик из достоверных источников, подчеркнул представитель компании.
Источник