Специалисты ИБ-компании Imperva разработали метод легкого доступа к файлам в учетных записях пользователей облачных хранилищ Dropbox, Microsoft OneDrive, Google Drive и Box. Это возможно, если злоумышленник сможет проникнуть в компьютер, на котором установлены клиенты для этих сервисов. Причем знать имена пользователей и пароли к учетным записям вовсе не обязательно.
По словам специалистов, все вышеперечисленные сервисы предоставляют постоянный доступ приложений-клиентов к серверам при помощи токенов, генерирующихся при первой авторизации пользователя. Проблема заключается в том, говорят эксперты, что эти токены хранятся на ПК в предсказуемых местах – в реестре Windows или Windows Credential Manager (в зависимости от приложения).
Для осуществления атаки был разработан специальный инструмент под названием Switcher, который, по словам исследователей, не демонстрирует поведение, свойственное вредоносному ПО, и впоследствии легко может быть удален с ПК. Попав на компьютер (через фишинговое сообщение или брешь в браузере), Switcher подменяет токен для доступа к учетной записи в определенном облачном сервисе на свой собственный, связанный с аккаунтом преступника. Затем приложение перезагружает клиент облачного хранилища, после чего тот начинает использовать уже подмененный токен. В результате синхронизация папки на ПК пользователя происходит с учетной записью злоумышленника. Switcher помещает в папку копию оригинального токена, которую он создал заранее. Таким образом, преступник получает в свое распоряжение не только файлы жертвы, но и подлинный токен для последующего доступа к документам уже со своего компьютера.
Помимо эксфильтрации данных, атакующий также может модифицировать файлы, к примеру, внедрить вредоносный макрос в документы Microsoft Word, отметили эксперты.
Источник: securitylab.ru
