Categories: Cloud

Google schließt kritische Sicherheitslecks in Google Apps Script

Google Apps Script kann unter Umständen dazu gebracht werden, über eine URL Malware zu laden und diese in SaaS-Anwendungen (Software-as-a-Service) auszuführen. Experten des IT-Sicherheitsanbietes Proofpoint haben ein “Leck” entdeckt, über das Angreifer über die JavaScript basierte Entwickler- und Scripting-Sprache aus einem Google Drive beliebige Schadsoftware auf die Systeme eines Opfers heruntergeladen können.

Google Apps Script ist sozusagen das Visual Basic für Cloud-basierte Anwendungen. Sicherheitslecks aber geben Hackern ein Tool an die Hand, das weitaus gefährlich ist, als Macro-Schädlinge. (Screenshot: silicon.de)

So lassen sich mit Apps Script beispielsweise Web-Anwendungen schreiben oder Google-Anwendungen erweitern. Die Experten von Proofpoint erklären, dass Hacker damit deutlich mächtigere Werkzeuge bekommen, als etwa mit Schädlingen auf Basis von Office Macros, die jahrelang die Sicherheit von IT-Systemen gefährdeten.
Google Apps Script und die Funktionen für das Teilen von Dokumenten, die in verschiedenen Google-Apps integriert sind, können dazu gebracht werden, dass automatisiert virtuelle Schädlinge herunter geladen werden. Auch können sich mit Hilfe von Social Engineering Anwender dazu gebracht werden, selbst Malware auszuführen, wie Proofpoint in einem Blog erklärt. Zudem sei es auch möglich, Malware völlig ohne Interaktion eines Nutzers auszuführen.

Inzwischen hat Proofpoint Google darüber informiert und der Anbieter hat bereits einige Apps-Script-Events blockiert, die für die Ausführung von Malware verwendet werden können. Dazu zählen zum Beispiel Funktionen wie die Trigger onOpen oder onEdit, die bei bestimmten Ereignissen einen Befehl ausführen.

“Die geringe Verfügbarkeit von Verteidigungstools, die Organisationen und Individuen gegen solche Attacken bereit stehen, machen es sehr wahrscheinlich, dass Angreifer künftig häufiger versuchen werden, diese Plattformen zu missbrauchen und auszunutzen. Denn auf der anderen Seite rüsten sich Organisationen immer besser gegen Macro-basierte Angriffe”, erklären die Proofpoint-Experten in einem Blog.

Es sei darüber hinaus davon auszugehen, dass Angreifer nicht nur immer häufiger auf SaaS-basierte Angriffe ausweichen, sondern auch immer besser werden, die SaaS-Anwendungen wie Google Docks oder Office 365 für ihre Zwecke zu missbrauchen. Um sich erfolgreich gegen diese wachsende Bedrohung zur Wehr setzen zu können, sollten Nutzer Endpunkt-Sicherheit, SaaS-Sicherheit und auch auf eine entsprechende Sensibilisierung der Nutzer setzen, raten die Sicherheitsexperten.

In dem von Proofpoint beschriebenen Exploit wurden zunächst die Schadsoftware auf Google Drive hochgeladen. Auf diesen Schad-Code kann dann ein öffentlicher Link verbreitet werden. Anschließend können Angreifer die Opfer dazu bringen, das entsprechende Google Doc zu öffnen. Aus Sicherheitsgründen gibt es derzeit keine weiteren Informationen zu dem Proof of Concept. Im Grunde sind Phishing-Attacken über Googles Dokumenten-Dienst keine Neuigkeit mehr. Doch in Kombination mit anderen SaaS-Plattformen und Anwendungen lassen sich diese Verbreitungswege schnell optimieren und vor allem vor der Entdeckung durch Sicherheitsexperten schützen, warnen die Experten.

Wer über einen Mitarbeiter einen Link zu einem Google-Doc bekommt prüft diesen meist nicht in der Weise, wie man das vielleicht tun würde, wenn man aus einer Mail Heraus einen Link anklickt. Auch wenn Google inzwischen bestimmte Trigger unterbindet, die die Verbreitung von Malware und Phishing-Kampagnen unterbinden.

Allerdings konnten die Proofpoint-Experten auch in einem Exploit zeigen, dass auch ganz ohne Zutun eines Nutzers Schädlinge über Google Apps Scripts heruntergeladen werden können. So warnen die Proofpoint-Experten zu erhöhter Vorsicht bei automatisch angestoßenen Downloads über Web-basierte SaaS-Plattformen.

Tools wie Google Apps Script sollen die Produktivität von Anwendern erhöhen und werden ständig mit neuen Funktionen erweitert. Doch diese Funktionsvielfalt zieht eben leider auch neue Formen des Missbrauchs auf sich und so werden teilweise eben auch nützliche Features gegen die Anwender gerichtet.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

8 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

8 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago