Google schließt kritische Sicherheitslecks in Google Apps Script

Google Apps Script kann unter Umständen dazu gebracht werden, über eine URL Malware zu laden und diese in SaaS-Anwendungen (Software-as-a-Service) auszuführen. Experten des IT-Sicherheitsanbietes Proofpoint haben ein “Leck” entdeckt, über das Angreifer über die JavaScript basierte Entwickler- und Scripting-Sprache aus einem Google Drive beliebige Schadsoftware auf die Systeme eines Opfers heruntergeladen können.

So lassen sich mit Apps Script beispielsweise Web-Anwendungen schreiben oder Google-Anwendungen erweitern. Die Experten von Proofpoint erklären, dass Hacker damit deutlich mächtigere Werkzeuge bekommen, als etwa mit Schädlingen auf Basis von Office Macros, die jahrelang die Sicherheit von IT-Systemen gefährdeten.
Google Apps Script und die Funktionen für das Teilen von Dokumenten, die in verschiedenen Google-Apps integriert sind, können dazu gebracht werden, dass automatisiert virtuelle Schädlinge herunter geladen werden. Auch können sich mit Hilfe von Social Engineering Anwender dazu gebracht werden, selbst Malware auszuführen, wie Proofpoint in einem Blog erklärt. Zudem sei es auch möglich, Malware völlig ohne Interaktion eines Nutzers auszuführen.

Inzwischen hat Proofpoint Google darüber informiert und der Anbieter hat bereits einige Apps-Script-Events blockiert, die für die Ausführung von Malware verwendet werden können. Dazu zählen zum Beispiel Funktionen wie die Trigger onOpen oder onEdit, die bei bestimmten Ereignissen einen Befehl ausführen.

“Die geringe Verfügbarkeit von Verteidigungstools, die Organisationen und Individuen gegen solche Attacken bereit stehen, machen es sehr wahrscheinlich, dass Angreifer künftig häufiger versuchen werden, diese Plattformen zu missbrauchen und auszunutzen. Denn auf der anderen Seite rüsten sich Organisationen immer besser gegen Macro-basierte Angriffe”, erklären die Proofpoint-Experten in einem Blog.

Es sei darüber hinaus davon auszugehen, dass Angreifer nicht nur immer häufiger auf SaaS-basierte Angriffe ausweichen, sondern auch immer besser werden, die SaaS-Anwendungen wie Google Docks oder Office 365 für ihre Zwecke zu missbrauchen. Um sich erfolgreich gegen diese wachsende Bedrohung zur Wehr setzen zu können, sollten Nutzer Endpunkt-Sicherheit, SaaS-Sicherheit und auch auf eine entsprechende Sensibilisierung der Nutzer setzen, raten die Sicherheitsexperten.

In dem von Proofpoint beschriebenen Exploit wurden zunächst die Schadsoftware auf Google Drive hochgeladen. Auf diesen Schad-Code kann dann ein öffentlicher Link verbreitet werden. Anschließend können Angreifer die Opfer dazu bringen, das entsprechende Google Doc zu öffnen. Aus Sicherheitsgründen gibt es derzeit keine weiteren Informationen zu dem Proof of Concept. Im Grunde sind Phishing-Attacken über Googles Dokumenten-Dienst keine Neuigkeit mehr. Doch in Kombination mit anderen SaaS-Plattformen und Anwendungen lassen sich diese Verbreitungswege schnell optimieren und vor allem vor der Entdeckung durch Sicherheitsexperten schützen, warnen die Experten.

Wer über einen Mitarbeiter einen Link zu einem Google-Doc bekommt prüft diesen meist nicht in der Weise, wie man das vielleicht tun würde, wenn man aus einer Mail Heraus einen Link anklickt. Auch wenn Google inzwischen bestimmte Trigger unterbindet, die die Verbreitung von Malware und Phishing-Kampagnen unterbinden.

Allerdings konnten die Proofpoint-Experten auch in einem Exploit zeigen, dass auch ganz ohne Zutun eines Nutzers Schädlinge über Google Apps Scripts heruntergeladen werden können. So warnen die Proofpoint-Experten zu erhöhter Vorsicht bei automatisch angestoßenen Downloads über Web-basierte SaaS-Plattformen.

Tools wie Google Apps Script sollen die Produktivität von Anwendern erhöhen und werden ständig mit neuen Funktionen erweitert. Doch diese Funktionsvielfalt zieht eben leider auch neue Formen des Missbrauchs auf sich und so werden teilweise eben auch nützliche Features gegen die Anwender gerichtet.