Un ricercatore di sicurezza ha recentemente scoperto e segnalato una vulnerabilità di Google Drive che potrebbe portare ad attacchi di malware.
Il bug non ha patch e potrebbe consentire agli autori delle minacce di diffondere file dannosi mascherati da documenti o immagini legittimi. Ulteriormente, questo potrebbe quindi consentire agli aggressori di eseguire abbastanza attacchi di spear phishing riusciti.
Dove risiede la vulnerabilità di Google Drive?
Secondo la persona che ha segnalato la vulnerabilità, La. Nikoci, un amministratore di sistema, la vulnerabilità si trova in “gestire le versioni” funzionalità. La funzione consente agli utenti di caricare e gestire varie versioni di un file. In altre parole, ciò potrebbe consentire agli utenti di aggiornare una versione precedente di un file con una nuova con la stessa estensione. Tuttavia, si scopre che la funzionalità consente inoltre agli utenti di caricare una nuova versione con qualsiasi estensione di file per qualsiasi file in Google Drive. Ciò include un eseguibile dannoso, troppo.
Nikoci si è messo in contatto con TheHackerNews e ha condiviso con il team la sua scoperta. I video dimostrativi rivelano una versione legittima del file che è già stata condivisa con un gruppo di utenti, può essere sostituito da un file dannoso. Inoltre, il caricamento del file dannoso rimane “silenzioso”, in quanto non vi è indicazione di eventuali modifiche. Tuttavia, una volta scaricato, questo file può essere utilizzato in attacchi malware. Ciò rende anche questa vulnerabilità altamente sfruttabile da gruppi di minacce di spear phishing che utilizzano servizi cloud per distribuire malware ai loro obiettivi selezionati.
In dicembre 2019, Google patchato una pericolosa vulnerabilità in Gmail che era correlato a un'istanza in cui i browser Web eseguono codice avanzato, noto anche come "DOM Clobbering". Il problema derivava dagli script di caricamento del contenuto HTML dinamico. Il motore responsabile di ciò si chiama AMP4Email: consente ai browser Web di caricare elementi dinamici e formattazione ricca durante la composizione dei messaggi.
La vulnerabilità derivava dal fatto che AMP4Email conteneva un validatore forte che utilizzava il meccanismo di una whitelist per abilitare il tipo specifico di contenuto che poteva essere passato al compositore di email. Se gli utenti hanno tentato di inserire un elemento HTML non autorizzato, potrebbe essere scartato e verrebbe visualizzato un messaggio di errore.
L'analisi della sicurezza di AMP4Email ha rivelato che gli autori delle minacce potrebbero manipolare i campi del codice per eseguire un attacco di scripting cross-site (attacco XSS) e il caricamento di oggetti non autorizzati e dannosi che trasportano malware.