Новая уязвимость Google Workspace позволяет злоумышленникам без лишних следов выгружать конфиденциальную информацию предприятий

Исследователи по кибербезопасности из компании Mitiga обнаружили серьезную уязвимость в Google Workspace , которая позволяет злоумышленникам скачивать файлы из Google Drive без каких бы то ни было следов в системных журналах. Это создаёт весьма реальный риск утечки данных для предприятий, узнать о которой компании смогут лишь тогда, когда их начнут шантажировать.

Уязвимость заключается в том, что для пользователей Google Workspace с бесплатной лицензией Cloud Identity Free не создаются логи диска, в которых были бы зафиксированы действия с файлами. Однако у пользователей с платной лицензией Google Workspace Enterprise Plus такие логи, разумеется, создаются. Данный факт делает организации буквально слепыми к потенциальным атакам с эксфильтрацией данных. И это касается не только мелких организаций, которые не могут себе позволить лицензию, проблема куда серьёзнее.

«В Google Workspace бесплатная лицензия используется по умолчанию при добавлении нового пользователя в ваш домен, что означает, что даже при оплаченной корпоративной лицензии, вы не будете получать никаких журналов активности с личного диска новых пользователей. Это основная проблема, потому что без этих журналов вы не сможете увидеть пользователей, потенциально загружающих данные на свой личный диск», — объяснил Ор Аспир, руководитель команды исследований по облачной безопасности компании Mitiga

«Если у частных пользователей без платной лицензии есть разрешения на доступ к некоторым общим дискам компании, они могут скопировать файлы с общего диска на свой собственный. А затем, когда пользователь будет скачивать эти скопированные файлы уже со своего диска, компания не получит никаких логов или уведомлений об этом», — добавил Аспир.

Исследователи выделили два основных сценария атак. Первый заключается в компрометации конкретной учётной записи действующего сотрудника предприятия. Хакер может отозвать лицензию взломанной учётной записи, скопировать с общего диска необходимые данные (ведь ранее выданные доступы никуда не исчезают после отзыва лицензии) и скачать их уже со «своего» диска.

Когда дело сделано, злоумышленник повторно назначает лицензию. При таком сценарии единственные записи в журнале, которые будут созданы — это отзыв и повторное назначения лицензии. И даже если это будет выглядеть подозрительно, или сотрудник заметит взлом своего аккаунта, никто уже не узнает, какие именно данные были похищены.

Второй сценарий — внутренняя атака. Если затаивший обиду сотрудник покидает компанию, он может заранее «втихую» скопировать все необходимые ему корпоративные данные на собственный диск, пока у него ещё есть доступ. А затем, когда его уволят, а лицензию отзовут, он сможет скачать со своего диска все эти данные без какого-либо уведомления для компании.

Исследователи связались с Google по поводу этой проблемы, но пока не получили ответа. Mitiga предложила предприятиям временные меры — проводить регулярные поиски угроз в Google Workspace и следить за любой активностью пользователей.

Исследователи также рекомендуют организациям обращать внимание на определенные действия в функции Admin Log Events, такие как события о назначении и отзыве лицензий. «Если эти события происходят очень быстро, это может свидетельствовать о том, что киберпреступники проникли в вашу среду», — предупредили специалисты.

Организации также могут добавить события типа «source_copy» в программное обеспечение для поиска угроз, чтобы оперативно зафиксировать случай, когда сотрудник или злоумышленник скопирует файлы с общего диска на частный.

«В целом, организации должны понимать, что если существует пользователь с бесплатной лицензией, он может беспрепятственно скопировать и скачать любые данные организации и не создать при этом каких-либо событий в журнале активности», — подытожил Аспир, добавив: «Будьте очень осторожны с пользователями внутри предприятия, которые не имеют платной лицензии».