Google Workspace: Hacker können Google Credential Provider for Windows missbrauchen
In einer neuen Analyse zeigen die Sicherheitsexperten bei Bitdefender, wie Cyberkriminelle den Google Workspace – die frühere G Suite – für Ihre Zwecke nutzen können. Nach der Kompromittierung einer lokalen Maschine über andere Angriffsmethoden können sie auf weitere geklonte Maschinen zugreifen, mit Zustimmung der Kunden den Zugriff auf Cloud-Plattformen erlangen oder lokal gespeicherte Passwörter entschlüsseln und im Anschluss weitere Angriffe fahren. Die neuen Wege für Hacker zum Eindringen in die Opfernetze entdeckten die Sicherheitsforscher bei Bitdefender, als sie neue Extended-Detection-and-Response (XDR)-Sensoren für Google Workplace und für die Google Cloud Platform entwickelten. Bitdefender hat Google auf die neuen Angriffsmethoden hingewiesen. Der Suchmaschinenbetreiber erklärte, dass er derzeit die beschriebenen Möglichkeiten nicht adressieren werde, weil sie außerhalb ihres Gefahrenmodells seien. Schutz solle von anderen IT-Sicherheitstechnologien kommen. Hacker können mit den bisher unbekannten Angriffsmethoden den Zugang auf einen einzelnen Endpunkt in einen netzwerkweiten Zugriff eskalieren. Ransomware und Datenexfiltration sind mögliche Folgen. Dafür nutzen die Angreifer den Google Credential Provider for Windows (GCPW). GCPW bietet Funktionen für ein Windows Device Management im Remote Modus, ohne dass eine VPN-Verbindung einer registrierten Domain nötig ist. Die Mobile-Device-Management-Funktion ähnelt Microsoft Intune. Administratoren können so in ihrer Google Workspace Windows-Geräte per Fernzugriff verwalten und überwachen. GCPW ermöglicht zudem die Single-Sign-On (SSO)-Authentifikation in Windows-Betriebssystemumgebungen mit Google Workspace – also für Gmail, für Google Drive oder für den Google Calendar. Folgende Angriffsmethoden sind laut der Analyse möglich, sobald eine lokale Maschine mit anderen Mitteln kompromittiert wurde: Seitwärtsbewegung mithilfe geklonter Maschinen und Passwörter in virtualisierten Umgebungen, in Virtual Desktop-Inf
Google Workspace: Hacker können Google Credential Provider for Windows missbrauchen