Felhős szoftverszolgáltatások sorában talált egy már ismert sebezhetőséget a Varonis kiberbiztonsági vállalat. A SaaS (software as a service) alkalmazások által kínált ún. vanity URL-eket, azaz a felhasználó (vállalat vagy személy) nevére utaló aldomainnel kiegészített internetcímeket nagyon egyszerűen lehet hamisítani adathalászat vagy social engineering céljából. A probléma egy speciális esetét a Zoomban már 2020-ban részletesen elemezte a CheckPoint.

A Varonis most megvizsgálta több szolgáltató "hiúság" URL-jeit. Kiderült, hogy ezekkel többek között a Zoom és a Box szolgáltatásainál is vissza lehet élni, sőt még a Google bizonyos szolgáltatásai is érintettek, pedig nincs is bennük vanity URL funkció. A SecurityWeek idézni ezzel kapcsolatban a Varonis vezető kutatóját, Tal Peleget, aki utalt rá, hogy ugyanezek a problémák minden olyan SaaS alkalmazásnál felléphetnek, melyek biztosítják a cégre/személyre szabott URL-ek használatát. A probléma lényegében csak oktatással, valamint a biztonsági szabályok következetes betartatásával orvosolható.

Alapból nem hiúság, hanem nagyon is hasznos

A vanity URL egyáltalán nem a hiúságról szól. Egyszerűen abban segít, hogy egy szervezet munkatársai könnyebben megjegyezzék, felismerjék a szervezet által használt felhős erőforrások címét. Az app.example.com/s/1234 URL például vanity URL-lé alakítva így fog kinézni: bitport.app.example.com/s/1234. Csakhogy a módszer hátránya épp az, ami az előnye: a felhasználó könnyen felismeri, ám egyben automatikusan megbízhatónak is tartja az ilyen címeket.

Ezt az "ősbizalmat" lehet kihasználni adathalászatra vagy social engineeringre. A Varonis több SaaS alkalmazásnál is azt tapasztalta ugyanis, hogy kizárólag az URI (Uniform Resource Identifier) részt validálják (a fenti példában a /s/1234), magát a vanity aldomaint (fent: "bitport") már nem. innentől viszont a támadónak egyszerű a dolga: a támadó létrehoz egy fiókot a szükséges SaaS alkalmazásban, majd a fiók által generált linkben módosítja az aldomaint.

A Box szolgáltatásában konkréten egy bugot találtak a kutatók. A felhős tartalomkezelő alkalmazás ugyanis csak az üzleti előfizetésnél teszi lehetővé a fájlmegosztáshoz generált URL-eknél az egyéni aldomaint. Csakhogy kiderült, egyes esetekben az egyedi felhasználó is át tudja írni a fájlmegosztáshoz generált általános, app.box.com/s/<id> formulájú linket, hogy annak előtagja egy vállalat neve legyen: bitport.app.box.com/s/<id>.

A támadó így létrehozhat egy olyan linket, amely egy kártékony adathalász űrlapra mutat. Mivel azonban az aldomain miatt a cég alkalmazottja megbízhatónak tartja, megadja az űrlapon kért érzékeny információkat, követi a dokumentumban leírt utasításokat (pl. végrehajt egy utalást).

A Zoom esetében a megbeszélések és a webinárium-regisztrációk vanity URL-jeinél is találtak hasonló támadási lehetőséget a kutatók. Ez főleg adathalász tevékenységre ad lehetőséget. A Zoomban ugyanis például van lehetőség arra, hogy egy szabadon szerkeszthető webinárium-regisztrációs formban tetszőleges adatokat lehessen bekérni regisztrálóktól.

A Zoom ugyan mindig feldob egy figyelmeztetést ezeknél a linkeknél, de a támadót segíti a türelmetlenség: tény, hogy a felhasználók többsége gyorsan átkattingat az ilyen figyelmeztetéseken.

Ott is van ilyen, ahol nem akarták

A Varonis kutatásának slusszpoénja, hogy még a Google-t is érinti annak ellenére, hogy a szolgáltatásai nem támogatják a vanity URL-t. A "publish to web" funkciót használó Google Form és a Google Docs dokumentumok azonban bizonyos esetekben módosíthatók, hogy céges domaint mutassanak: companydomain.docs.google.com.

A Varonis által felfedezett biztonsági problémákat azóta részben orvosolták. A Box megakadályozza az URL-manipulálást. A Zoom továbbra is lehetővé teszi, de a felhasználó hangsúlyosabb figyelmeztetést kap, hogy módosított URL-t lát. A Google is dolgozik a megoldáson, bár a Varonis jelentésének megjelenésekor még átírhatók voltak a címek.

A kutatók szerint a vanity URL alapvetően jó szolgáltatás, de csak megfelelő oktatás és a biztonságtudatosság kellően magas szintje mellett. Azaz újra és újra fel kell hívni a munkatársak figyelmét az ilyen URL-ek kockázataira.