たった1つの6桁PINを盗むだけで、フィッシング攻撃者が被害者のGoogle パスワードマネージャー(GPM)ボールト全体を持ち去ることができるようになった。
PhishUの研究者によって「Vaultjacking」と名付けられたこの新たに文書化された中間者攻撃(AiTM)手法は、基盤となる同期レイヤーを標的にすることで、サイトごとのパスキー保護を回避する。
通常のログイン中にユーザーのGPM PINを窃取することで、脅威アクターは保存されたすべてのパスワードとパスキーを復号・複製し、自身のインフラに転送することができる。
被害の範囲は完全であり、銀行システム、ソースコードリポジトリ、職場のシングルサインオン環境を一撃で侵害する。
この研究は、PhishUのCEOであるCurtis Brazzellが2020年から追跡してきた、クレデンシャルマネージャーにおける信頼境界の問題に関する調査を発展させたものだ。
Vaultjackingは、デバイス紛失時の回復にクロスデバイスのプッシュ承認ではなく短いPINに依存するというGoogleの構造的な設計選択を悪用する。
パスキーはクレデンシャルをサイトのオリジンに効果的に紐付ける。しかしVaultjackingは、同期されたボールトをどのデバイスが読み取れるかというクラウド側の判断を標的にすることで、これを回避する。
一度捕捉されると、自動化されたバックグラウンドワーカーが攻撃者所有のパスキーを被害者のGoogleアカウントに静かに追加する。
仮想トラステッド・プラットフォーム・モジュール(TPM)を搭載したコンテナ化されたWindows VMを使用し、攻撃者は永続的なパスキーで認証を行い、被害者のセキュリティドメインに参加する。
Chromeのエンクレーブマネージャーは仮想TPMを有効なハードウェアIDとして受け入れる。プロンプトが表示されると、自動化されたワーカーが盗んだ6桁のPINを入力する。
この単一の検証によりセキュリティドメインシークレット(SDS)が解放され、被害者の実際のモバイルデバイスにプッシュ通知を送ることなく、攻撃者は同期されたクレデンシャルボールト全体をローカルで復号できると、PhishUは述べている。
この手法は暗号的な欠陥ではなく意図された同期レイヤーの動作を悪用するため、WebAuthnハンドシェイクを単純に変更するだけでは修正できない。
防御側はこの脅威に対抗するため、ポリシーの施行と構造的なネットワーク監視に注力する必要がある。この攻撃は被害者のローカルデバイスへの足がかりを必要としない。
Googleのサーバーサイドエンクレーブを通じて、ソフトウェアおよびハードウェアバックのパスキーの両方を正常に再生することが確認されている。
翻訳元: https://cyberpress.org/vaultjacking-exposes-google-vault/
