Исследователи по кибербезопасности из компании Mitiga обнаружилисерьезную уязвимость в Google Workspace, которая позволяет злоумышленникам скачивать файлы из Google Drive без каких бы то ни было следов в системных журналах. Это создаёт весьма реальный риск утечки данных для предприятий, узнать о которой компания сможет лишь тогда, когда её начнут шантажировать.
Уязвимость заключается в том, что для пользователей Google Workspace с бесплатной лицензией Cloud Identity Free не создаются логи диска, в которых были бы зафиксированы действия с файлами. Однако у пользователей с платной лицензией Google Workspace Enterprise Plus такие логи, разумеется, создаются. Данный факт делает организации буквально слепыми к потенциальным атакам с эксфильтрацией данных. И это касается не только мелких организаций, которые не могут себе позволить лицензию, проблема куда серьёзнее.
“В Google Workspace бесплатная лицензия используется по умолчанию при добавлении нового пользователя в ваш домен, что означает, что даже при оплаченной корпоративной лицензии, вы не будете получать никаких журналов активности с личного диска новых пользователей. Это основная проблема, потому что без этих журналов вы не сможете увидеть пользователей, потенциально загружающих данные на свой личный диск”, – объясняет Ор Аспир, руководитель команды исследований по облачной безопасности компании Mitiga
“Если у частных пользователей без платной лицензии есть разрешения на доступ к некоторым общим дискам компании, они могут скопировать файлы с общего диска на свой собственный. А затем, когда пользователь будет скачивать эти скопированные файлы уже со своего диска, компания не получит никаких логов или уведомлений об этом”, – добавил Аспир.
Исследователи выделили два основных сценария атак. Первый заключается в компрометации конкретной учётной записи действующего сотрудника предприятия. Хакер может отозвать лицензию взломанной учётной записи, скопировать с общего диска необходимые данные (ведь ранее выданные доступы никуда не исчезают после отзыва лицензии) и скачать их уже со “своего” диска. Когда “дело сделано”, злоумышленник повторно назначает лицензию. При таком сценарии единственные записи в журнале, которые будут созданы – это отзыв и повторное назначения лицензии. И даже если это будет выглядеть подозрительно, или сотрудник заметит взлом своего аккаунта, никто уже не узнает, какие именно данные были похищены.
Второй сценарий – внутренняя атака. Если затаивший обиду сотрудник покидает компанию, он может заранее “втихую” скопировать все необходимые ему корпоративные данные на собственный диск, пока у него ещё есть доступ. А затем, когда его уволят, а лицензию отзовут, он сможет скачать со своего диска все эти данные без какого-либо уведомления для компании.
Исследователи связались с Google по поводу этой проблемы, но пока не получили ответа. Mitiga предложила предприятиям временные меры – проводить регулярные поиски угроз в Google Workspace и следить за любой активностью пользователей.
Исследователи также рекомендуют организациям обращать внимание на определенные действия в функции Admin Log Events, такие как события о назначении и отзыве лицензий. “Если эти события происходят очень быстро, это может свидетельствовать о том, что киберпреступники проникли в вашу среду”, – предупреждают специалисты.
Организации также могут добавить события типа “source_copy” в программное обеспечение для поиска угроз, чтобы оперативно зафиксировать случай, когда сотрудник или злоумышленник копирует файлы с общего диска на частный.
В целом, организации “должны понимать, что если существует пользователь с бесплатной лицензией, он может беспрепятственно скопировать и скачать любые данные организации и не создать при этом каких-либо событий в журнале активности”, – подытожил Аспир, добавив: “Будьте очень осторожны с пользователями внутри предприятия, которые не имеют платной лицензии”.