Новая уязвимость Google Workspace позволяет злоумышленникам без лишних следов выгружать конфиденциальную информацию предприятий

Новая уязвимость Google Workspace позволяет злоумышленникам без лишних следов выгружать конфиденциальную информацию предприятий

«Корпорация добра» сама дала киберпреступникам карт-бланш на похищение данных.

image

Исследователи по кибербезопасности из компании Mitiga обнаружили серьезную уязвимость в Google Workspace, которая позволяет злоумышленникам скачивать файлы из Google Drive без каких бы то ни было следов в системных журналах. Это создаёт весьма реальный риск утечки данных для предприятий, узнать о которой компании смогут лишь тогда, когда их начнут шантажировать.

Уязвимость заключается в том, что для пользователей Google Workspace с бесплатной лицензией Cloud Identity Free не создаются логи диска, в которых были бы зафиксированы действия с файлами. Однако у пользователей с платной лицензией Google Workspace Enterprise Plus такие логи, разумеется, создаются. Данный факт делает организации буквально слепыми к потенциальным атакам с эксфильтрацией данных. И это касается не только мелких организаций, которые не могут себе позволить лицензию, проблема куда серьёзнее.

«В Google Workspace бесплатная лицензия используется по умолчанию при добавлении нового пользователя в ваш домен, что означает, что даже при оплаченной корпоративной лицензии, вы не будете получать никаких журналов активности с личного диска новых пользователей. Это основная проблема, потому что без этих журналов вы не сможете увидеть пользователей, потенциально загружающих данные на свой личный диск», — объяснил Ор Аспир, руководитель команды исследований по облачной безопасности компании Mitiga

«Если у частных пользователей без платной лицензии есть разрешения на доступ к некоторым общим дискам компании, они могут скопировать файлы с общего диска на свой собственный. А затем, когда пользователь будет скачивать эти скопированные файлы уже со своего диска, компания не получит никаких логов или уведомлений об этом», — добавил Аспир.

Исследователи выделили два основных сценария атак. Первый заключается в компрометации конкретной учётной записи действующего сотрудника предприятия. Хакер может отозвать лицензию взломанной учётной записи, скопировать с общего диска необходимые данные (ведь ранее выданные доступы никуда не исчезают после отзыва лицензии) и скачать их уже со «своего» диска.

Когда дело сделано, злоумышленник повторно назначает лицензию. При таком сценарии единственные записи в журнале, которые будут созданы — это отзыв и повторное назначения лицензии. И даже если это будет выглядеть подозрительно, или сотрудник заметит взлом своего аккаунта, никто уже не узнает, какие именно данные были похищены.

Второй сценарий — внутренняя атака. Если затаивший обиду сотрудник покидает компанию, он может заранее «втихую» скопировать все необходимые ему корпоративные данные на собственный диск, пока у него ещё есть доступ. А затем, когда его уволят, а лицензию отзовут, он сможет скачать со своего диска все эти данные без какого-либо уведомления для компании.

Исследователи связались с Google по поводу этой проблемы, но пока не получили ответа. Mitiga предложила предприятиям временные меры — проводить регулярные поиски угроз в Google Workspace и следить за любой активностью пользователей.

Исследователи также рекомендуют организациям обращать внимание на определенные действия в функции Admin Log Events, такие как события о назначении и отзыве лицензий. «Если эти события происходят очень быстро, это может свидетельствовать о том, что киберпреступники проникли в вашу среду», — предупредили специалисты.

Организации также могут добавить события типа «source_copy» в программное обеспечение для поиска угроз, чтобы оперативно зафиксировать случай, когда сотрудник или злоумышленник скопирует файлы с общего диска на частный.

«В целом, организации должны понимать, что если существует пользователь с бесплатной лицензией, он может беспрепятственно скопировать и скачать любые данные организации и не создать при этом каких-либо событий в журнале активности», — подытожил Аспир, добавив: «Будьте очень осторожны с пользователями внутри предприятия, которые не имеют платной лицензии».

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий