Posté le juin 6, 2023 à 5:40
UNE FAILLE DANS GOOGLE DRIVE PERMET AUX HACKERS D’EXFILTRER DES DONNÉES DANS GOOGLE WORKSPACE
Un récent rapport de chercheurs en cybersécurité a mené une enquête approfondie sur les techniques utilisées pour exfiltrer des données dans Google Workspace. Google Drive fait partie des plateformes de stockage dans le cloud les plus utilisées, et il a été fréquemment ciblé par les hackers en raison de son potentiel et de ses capacités massives.
Un bug de Google Drive permet à des hackers de voler des données sans être détectés
Le vol de données est devenu de plus en plus populaire ces dernières années. Cette technique est désormais utilisée par les acteurs de la menace après avoir obtenu un accès non autorisé à une plateforme. Le vol de données est largement utilisé par les hackers car il fonctionne comme un vecteur d’attaque commun où ces attaquants peuvent accéder à une variété d’informations.
Le rapport exposant la faille de sécurité de Google Drive a été révélé par une équipe de recherche de Mitiga. L’équipe de Mitiga a mené une enquête intensive sur les techniques utilisées pour exfiltrer des données dans l’environnement Google Workspace. Google Workspace est l’un des écosystèmes les plus utilisés, et la faille montre l’importance de la plateforme et de la méthode d’attaque utilisée.
Cette recherche s’inscrit dans le cadre des efforts déployés par l’équipe de recherche de Mitiga pour explorer et comprendre les services en nuage et les attaques de logiciels en tant que service (SaaS), tout en menant des pratiques forensiques.
Les acteurs malveillants à l’origine de cette campagne ont souvent ciblé des vulnérabilités pour les exploiter et causer des dommages. Les failles en question existent au sein de Google Drive, et leur exploitation permet aux hackers d’obtenir un accès non autorisé à ces appareils, où ils peuvent voler des données utilisateur et des fichiers sensibles.
Les experts qui étudient cet exploit procèdent actuellement à une analyse approfondie de la question, qui a mis en évidence les lacunes des mesures d’investigation utilisées par Google Drive. La faille permet également aux hackers d’exfiltrer des données de Google Drive sans être détectés.
Google Workspace est une plateforme qui offre également plus de transparence lorsqu’elle utilise les « événements du journal Drive » pour surveiller et suivre les différentes actions qui ont été menées sur les ressources Google Drive qui sont la propriété d’une entreprise. Cependant, la fiabilité de cette plateforme a été compromise par ces attaques.
La sécurité de Google Workspace
Google Workspace est l’un des espaces les plus sensibles de la plateforme. Google Workspace enregistre différents événements qui sont capturés et stockés pour offrir un enregistrement complet des interactions qui se sont produites avec des utilisateurs externes.
Cette pratique est en outre limitée par nature aux actions menées par les hackers détenteurs d’une licence payante. Cette pratique constitue la principale limite de cette question, mais cette restriction est également un défi majeur qui doit être relevé.
Tous les utilisateurs de Google Drive se voient initialement proposer une licence « Identité Cloud gratuite », qui constitue l’option par défaut. Cette licence offre à l’utilisateur un accès et des fonctionnalités de base au sein de l’écosystème Google Drive.
Toutefois, l’absence de visibilité claire pose problème. Ce problème pose un défi majeur dans plusieurs domaines, ce qui entraînera des complications. Si un hacker compromet le compte utilisateur de l’administrateur, il peut être en charge de différentes actions. Le système génère également des enregistrements pour ces actions en révoquant et en attribuant des licences.
Si un acteur malveillant obtient un accès non autorisé à un compte d’utilisateur qui n’a pas de licence payante mais qui peut accéder au disque privé de l’organisation, le problème soulèvera d’importantes préoccupations en matière de sécurité.
L’une des failles susceptibles d’être exploitées par les attaquants se situe au cours du processus d’intégration des employés. Dans ce type de situation, un employé quitte l’entreprise, ce qui entraîne la révocation de sa licence avant que le compte utilisateur Google ne soit supprimé ou désactivé.
L’employé aura par ailleurs la possibilité de télécharger des fichiers internes directement à partir du disque privé s’il n’a pas été prévenu au préalable. Si l’organisation ne détient pas de licence payante, mais qu’elle peut tout de même accéder au drive privé, elle téléchargera les fichiers qui s’y trouvent sans créer d’enregistrements.
Les chercheurs de Mitiga ont contacté l’équipe de sécurité de Google à ce sujet. Toutefois, ils n’ont pas obtenu de réponse officielle qui sera intégrée à l’avis.
Les chercheurs ont en outre indiqué qu’il était nécessaire de rechercher régulièrement les menaces au sein de Google Workspace, l’accent étant mis sur la détection et l’investigation de l’activité qui a été menée par les hackers afin de garantir la réduction du risque que leurs effets se fassent ressentir sur les appareils ciblés.