聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

谷歌Drive 中被指存在一个未修复的安全弱点，攻击者可利用它分发伪装成合法文档或图像的恶意文件，从而执行成功率相对较高的鱼叉式钓鱼攻击。

谷歌已意识到该0day 的存在，但遗憾的是并未修复它。该0day 存在于谷歌 Drive 提供的供用户上传并管理不同版本文件的“管理版本 (manage versions)”功能中，也存在于其接口向用户提供文件新版本的方式中。

从逻辑上讲，该“管理版本”应当允许谷歌 Drive 用户通过具有相同文件扩展的新版本更新老旧版本，但实际上并非如此。

发现并报告这个0day漏洞的系统管理员 A. Nickoci 表示，受影响功能可导致用户向云存储上的任意现有文件上传具有任意文件扩展的新版本，甚至上传恶意可执行文件。

Nikoci 在演示视频中指出，如此，已在用户群中共享的合法软件版本将可被恶意文件所替代。在线预览时并不会提示任何新变化或发出任何警告，但如下载则可用于感染目标系统。他表示，“谷歌在没有检查是否是同一类型的情况下，允许用户更改文件版本。它们甚至并未强制要求具有同一扩展。”

毋庸置疑，该问题可引发高度有效的鱼叉式钓鱼攻击，利用传播广泛的云服务如谷歌 Drive 分发恶意软件。

最近，谷歌修复了 Gmail 中的一个安全缺陷，可导致威胁行动者发送模仿任意 Gmail 或 G Suite 客户的欺骗邮件，甚至在严格的 DMARC/SPF 安全策略启动的情况下也不例外。

备受黑客喜爱

鱼叉式欺诈信息一般试图诱骗收件人打开恶意附件或点击看似无害的链接，从而向攻击者提供机密信息如账户凭据。这些连接和附件可使收件人在无意识的情况下下载恶意软件，从而访问用户的计算机系统和其它敏感信息。

这个 0day 也不例外，谷歌 Drive 的文件更新功能可用于更新共享文件，包括以全新版本替换文件，从而在无需更改链接的情况下更新共享文件。

然而，如不验证文件扩展，则当共享文件的用户通过电子邮件收到更改通知时会下载文档且其系统遭恶意软件感染，从而带来严重后果。

这种场景也可用于发动 whaling 攻击。网络犯罪团伙通常使用这种钓鱼技术伪装成组织机构中的高级管理人员并攻击特定个人，希望窃取敏感信息或获得对计算机系统的访问权限以实现犯罪目的。

更糟糕的是，谷歌 Chrome 似乎间接信任从谷歌 Drive 下载的文件，即使但其它杀毒软件检测为恶意时也不例外。

云服务成攻击向量

尽管尚未有证据表明该缺陷已遭在野利用，但鉴于近几个月来云服务已成为多起鱼叉式钓鱼攻击中恶意软件传播的媒介，攻击者想要修改利用它也并非难事。

今年早些时候，Zscaler 公司发现了一起利用谷歌 Drive 下载密码窃取器发动首阶段攻陷的钓鱼活动。上个月，Check Point Research 和 Cofense 公司说明了一系列新型攻击活动，攻击者不仅使用垃圾邮件在 Dropbox 和谷歌 Drive 等服务中内嵌恶意软件，同时利用云存储服务托管钓鱼页面。

ESET 公司在分析 Evilnum APT 组织时观测到类似趋势，位于欧洲的金融技术功能遭鱼叉式钓鱼邮件攻击。这些邮件中包含托管在谷歌 Drive 上的 ZIP 文件链接，窃取软件许可证、客户信用卡信息以及投资和交易文档。Fortinet 在本月初的一次攻击活动中发现一个以新冠肺炎疫情为主题的钓鱼邮件警告用户称，因疫情原因延迟支付，但结果是诱骗用户下载托管在谷歌 Drive URL 上的NetWire 远程访问木马。

由于欺诈者和犯罪分子全力隐藏恶意意图，因此用户应密切关注可疑邮件，包括谷歌 Drive 通知消息在内，以缓解可能存在的风险。

推荐阅读

已遭利用的微软0day CVE-2020-1464，原来是两年前的老相识

已遭利用的Windows 0day漏洞 CVE-2020-1380分析

详情和 PoC 发布后，谷歌匆忙修复严重的 Gmail 漏洞

原文链接

https://thehackernews.com/2020/08/google-drive-file-versions.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 吧~