Un chercheur en sécurité a récemment découvert et signalé une vulnérabilité de Google Drive qui pourrait conduire à des attaques de logiciels malveillants.
Le bogue n'est pas corrigé et pourrait permettre aux auteurs de menaces de diffuser des fichiers malveillants déguisés en documents ou images légitimes. Plus, cela pourrait alors permettre aux attaquants de mener attaques réussies de spear-phishing.
Où réside la vulnérabilité de Google Drive?
Selon la personne qui a signalé la vulnérabilité, Une. Nikoci, un administrateur système, la vulnérabilité est située dans le “gérer les versions” fonctionnalité. La fonctionnalité permet aux utilisateurs de télécharger et de gérer différentes versions d'un fichier. En d'autres termes, cela pourrait permettre aux utilisateurs de mettre à jour une ancienne version d'un fichier avec une nouvelle avec la même extension de fichier. Cependant, il s'avère que la fonctionnalité permet également aux utilisateurs de télécharger une nouvelle version avec n'importe quelle extension de fichier pour n'importe quel fichier dans Google Drive. Cela inclut un exécutable malveillant, trop.
Nikoci a pris contact avec TheHackerNews et a partagé avec l'équipe sa découverte. Les vidéos de démonstration révèlent qu'une version légitime du fichier qui a déjà été partagée avec un groupe d'utilisateurs, peut être remplacé par un fichier malveillant. En outre, le téléchargement du fichier malveillant reste “silencieux”, car il n'y a aucune indication de changement. Cependant, lors du téléchargement, ce fichier peut être utilisé dans des attaques de logiciels malveillants. Cela rend également cette vulnérabilité hautement exploitable par les groupes de menaces de phishing qui utilisent les services cloud pour livrer des logiciels malveillants à leurs cibles sélectionnées.
En décembre 2019, Google patché une vulnérabilité dangereuse dans Gmail qui était lié à une instance dans laquelle les navigateurs Web exécutent du code riche, également connu sous le nom de "DOM Clobbering". Le problème provenait des scripts de chargement de contenu HTML dynamique. Le moteur qui en est responsable s'appelle AMP4Email - il permet aux navigateurs Web de charger des éléments dynamiques et une mise en forme riche lors de la rédaction des messages.
La vulnérabilité provenait du fait que l'AMP4Email contenait un validateur puissant qui utilisait le mécanisme d'une liste blanche pour activer le type spécifique de contenu pouvant être transmis au compositeur de courrier électronique.. Si les utilisateurs ont essayé d'insérer un élément HTML non autorisé, il pourrait être rejeté et un message d'erreur serait affiché.
L'analyse de sécurité d'AMP4Email a révélé que les acteurs de la menace pouvaient manipuler les champs de code afin de mener une attaque de script intersite. (attaque XSS) et le chargement d'objets non autorisés et malveillants porteurs de malwares.