Proofpoint ha rilevato una vulnerabilità insita in Google Apps Script, un’anomalia che potrebbe consentire ai malintenzionati di distribuire malware tramite URL.
Le applicazioni SaaS sono rapidamente diventate una presenza tecnologica costante nella vita quotidiana di individui e imprese. Ma stanno anche diventando la prossima frontiera di innovazione per chi cerca nuove opportunità per distribuire malware, sottrarre credenziali ed altro ancora. I ricercatori Proofpoint hanno identificato una vulnerabilità che ha consentito a degli hacker di sfruttare Google Apps Script per scaricare in modo automatico malware ospitato da Google Drive sul computer della vittima.
Google Apps Script è una piattaforma di sviluppo basata su JavaScript che permette di creare sia app standalone che potenti estensioni ai differenti elementi dell’ecosistema SaaS di Google Apps. La ricerca Proofpoint ha scoperto che Google Apps Script e le normali funzionalità di condivisione dei documenti integrate in Google Apps supportavano il download automatico di malware e piani sofisticati di social engineering, pensati per convincere l’utente a eseguire il malware una volta scaricato. È stato anche confermato come con questo tipo di attacco fosse possibile dare il via agli exploit anche senza interazione da parte dell’utente, cosa che ha reso ancor più urgente un intervento da parte delle organizzazioni interessate per mitigare il rischio derivante da questa minaccia prima che potesse raggiungere gli end user, per quanto possibile.
Da quando Proofpoint ha svelato questa vulnerabilità a Google, l’azienda ha aggiunto una serie di restrizioni specifiche su determinati eventi Apps Scripts potenzialmente pericolosi, come messo in luce da Proofpoint stessa.
Ora, Google impedisce sia ai trigger installabili – eventi personalizzabili che possono dare il via all’esecuzione automatica di altri eventi – che ai semplici trigger come onOpen e onEdit di presentare interfacce personalizzate all’interno degli editor Doc nella sessione di un altro utente. Tuttavia, il proof of concept fornito a Google ha mostrato come gli hacker possano usare piattaforme SaaS estensibili per portare malware a vittime inconsapevoli, usando strumenti più potenti delle classiche macro di Microsoft Office che usano ormai da anni.
Le piattaforme SaaS rappresentano un terreno vergine in tema di sicurezza, sia per chi attacca che per chi si difende. Nuovi strumenti come Google Apps Script aggiungono rapidamente nuove funzionalità, mentre gli hacker sono alla continua ricerca di nuove modalità per sfruttare queste piattaforme. Allo stesso tempo, sono pochi gli strumenti che consentono di identificare le minacce generate o distribuite su piattaforme SaaS legittime. Questo crea di fatto opportunità interessanti per i malintenzionati che possono sfruttare a loro beneficio vulnerabilità appena individuate o tramutare il “bene in male”, usando funzionalità legittime a scopi malvagi.
Già con le macro di Microsoft Office, gli hacker avevano introdotto livelli di offuscamento, nuove tecniche e approcci innovativi pensati per distribuire il loro payload malware in modo più efficace. Lo stesso livello di innovazione può riguardare le applicazioni SaaS, man mano che queste diventano sempre più diffuse, e gli hacker diventano più sofisticati nell’abuso di questi strumenti. Le organizzazioni dovranno adottare una combinazione di sicurezza applicativa SaaS, formazione dell’utente finale, endpoint security ed email gateway security per mantenere il controllo di questa minaccia emergente.