Новая гісторыя

Даследчыкі SquareX выкрылі атаку OAuth на пашырэнні Chrome за некалькі дзён да сур'ёзнага ўзлому

па CyberNewswire4m2024/12/30

Занадта доўга; Чытаць

Шкоднасная версія пашырэння для браўзера Cyberhaven была апублікаваная ў Chrome Store, што дазволіла зламысніку захапіць аўтэнтыфікаваныя сесіі і выкрасці канфідэнцыйную інфармацыю. Пашырэнне было даступна для спампоўкі больш за 30 гадзін, перш чым Cyberhaven выдаліла яго.

featured image - Даследчыкі SquareX выкрылі атаку OAuth на пашырэнні Chrome за некалькі дзён да сур'ёзнага ўзлому

ПАЛА-АЛЬТА, Каліфорнія, ЗША, 30 снежня 2024 г./CyberNewsWire/--SquareX, першае ў галіны рашэнне для выяўлення і рэагавання браўзераў (BDR), лідзіруе ў галіне бяспекі браўзераў.

Каля тыдня таму SquareX паведамляецца буйнамаштабныя атакі на распрацоўшчыкаў Chrome Extension, накіраваныя на захоп Chrome Extension з Chrome Store.

25 снежня 2024 г. у Chrome Store была апублікавана шкоднасная версія пашырэння для браўзера Cyberhaven, якая дазволіла зламысніку захапіць аўтэнтыфікаваныя сеансы і выкрасці канфідэнцыйную інфармацыю.

The шкоднаснае пашырэнне быў даступны для спампоўкі больш за 30 гадзін, перш чым быў выдалены Cyberhaven. Кампанія па прадухіленні страты даных адмовілася каментаваць ступень наступстваў, калі звярнулася да прэсы, але пашырэнне мела больш за 400 000 карыстальнікаў на Крама Chrome у момант нападу.

На жаль, атака адбылася, як і даследчыкі SquareX ідэнтыфікаваны падобная атака з а відэа дэманструючы ўвесь шлях атакі ўсяго за тыдзень да ўзлому Cyberhaven.

Атака пачынаецца з фішынгавага электроннага ліста, які выдае сябе за Chrome Store і змяшчае меркаванае парушэнне «Пагаднення распрацоўшчыка» платформы, заклікаючы атрымальніка прыняць палітыку, каб прадухіліць выдаленне іх пашырэння з Chrome Store.

Пасля націску на кнопку палітыкі карыстальніку прапануецца падключыць свой уліковы запіс Google да «Пашырэння палітыкі прыватнасці», якое дае зламысніку доступ да рэдагавання, абнаўлення і публікацыі пашырэнняў ва ўліковым запісе распрацоўшчыка.

Мал. 1. Фішынгавая электронная пошта, арыентаваная на распрацоўшчыкаў пашырэнняў

Малюнак 2. Фальшывае пашырэнне палітыкі прыватнасці, якое запытвае доступ да «рэдагавання, абнаўлення або публікацыі» пашырэння распрацоўшчыка

Пашырэнні становяцца ўсё больш папулярным спосабам для зламыснікаў атрымаць першапачатковы доступ.

Гэта адбываецца таму, што большасць арганізацый маюць абмежаваныя магчымасці адносна таго, якія пашырэнні браўзера выкарыстоўваюць іх супрацоўнікі. Нават самыя строгія службы бяспекі звычайна не кантралююць наступныя абнаўленні пасля таго, як пашырэнне ўнесена ў белы спіс.

SquareX правяла шырокія даследаванні і прадэманстравала на DEFCON 32, як MV3-сумяшчальныя пашырэнні могуць выкарыстоўвацца для крадзяжу каналаў відэапатоку, дадання бясшумнага супрацоўніка GitHub і крадзяжу файлаў cookie сесіі, сярод іншага.

Зламыснікі могуць стварыць, здавалася б, бяскрыўднае пашырэнне і пазней пераўтварыць яго ў шкоднаснае пасля ўстаноўкі або, як паказана ў атацы вышэй, падмануць распрацоўшчыкаў, якія стаяць за надзейным пашырэннем, каб атрымаць доступ да таго, якое ўжо мае сотні тысяч карыстальнікаў.

У выпадку Cyberhaven зламыснікі змаглі скрасці ўліковыя даныя кампаніі на некалькіх вэб-сайтах і вэб-праграмах праз шкоднасную версію пашырэння.

Улічваючы, што адрасы электроннай пошты распрацоўшчыкаў знаходзяцца ў адкрытым доступе ў Chrome Store, зламыснікам лёгка нацэліцца на тысячы распрацоўшчыкаў пашырэнняў адначасова.

Гэтыя электронныя лісты звычайна выкарыстоўваюцца для паведамлення пра памылкі. Такім чынам, нават электронныя лісты падтрымкі, пералічаныя для пашырэнняў ад буйных кампаній, звычайна накіроўваюцца распрацоўшчыкам, якія могуць не мець неабходнага ўзроўню дасведчанасці аб бяспецы, каб знайсці падазрэнні ў такой атацы.

Згодна з раскрыццём атакі SquareX і ўзломам Cyberhaven, які адбыўся менш чым за два тыдні, у кампаніі ёсць важкія падставы меркаваць, што многія іншыя пастаўшчыкі пашырэнняў для браўзераў падвяргаюцца такім жа чынам. SquareX заклікае як кампаніі, так і прыватных асоб правесці дбайную праверку перад устаноўкай або абнаўленнем любых пашырэнняў браўзера.

Малюнак 3. Кантактная інфармацыя распрацоўшчыкаў пашырэнняў агульнадаступная ў Chrome Store

Каманда SquareX разумее, што ацэнка і маніторынг кожнага асобнага пашырэння браўзера сярод усіх канкуруючых прыярытэтаў бяспекі, асабліва калі гаворка ідзе пра атакі нулявога дня, можа быць нетрывіяльнай.

Як паказана ў відэа , фальшывае прыкладанне палітыкі канфідэнцыяльнасці, якое ўдзельнічала ва ўзломе Cyberhaven, нават не было выяўлена ніводнай папулярнай стужкай пагроз.

Рашэнне SquareX для выяўлення і рэагавання ў браўзеры (BDR). пазбаўляе ад гэтай складанасці каманды бяспекі:

Блакіроўка ўзаемадзеяння OAuth з несанкцыянаванымі вэб-сайтамі, каб прадухіліць супрацоўнікаў ад выпадковага прадастаўлення зламыснікам несанкцыянаванага доступу да вашага ўліковага запісу Chrome Store
Блакіроўка і/або пазначэнне любых падазроных абнаўленняў пашырэнняў, якія змяшчаюць новыя, рызыкоўныя дазволы
Блакаванне і/або пазначэнне падазроных пашырэнняў з хваляй негатыўных водгукаў
Блакаванне і/або пазначэнне ўстаноўкі бакавой загрузкі пашырэнняў
Упарадкуйце ўсе запыты на ўстаноўку пашырэнняў па-за спісам дазволеных для хуткага зацвярджэння на аснове палітыкі кампаніі
Поўная бачнасць усіх пашырэнняў, усталяваных і выкарыстоўваных супрацоўнікамі ўсёй арганізацыі

Заснавальнік SquareX Вівек Рамачандран папярэджвае: «Атакі ідэнтыфікацыі, накіраваныя на пашырэнні браўзера, падобныя на гэтую атаку OAuth, будуць толькі больш распаўсюджанымі, паколькі супрацоўнікі будуць спадзявацца на больш інструментаў на аснове браўзера, каб быць прадуктыўнымі на працы. Падобныя варыянты гэтых нападаў выкарыстоўваліся ў мінулым для крадзяжу воблачных даных з такіх праграм, як Google Drive і One Drive, і мы толькі ўбачым, што зламыснікі будуць больш крэатыўна выкарыстоўваць пашырэнні браўзера. Кампаніі павінны захоўваць пільнасць і мінімізаваць рызыку ў ланцужку паставак, не перашкаджаючы прадукцыйнасці супрацоўнікаў, абсталяваўшы іх правільнымі ўласнымі інструментамі браўзера».

Пра SquareX:

SquareX дапамагае арганізацыям у рэжыме рэальнага часу выяўляць, зніжаць і шукаць кліенцкія вэб-атакі супраць іх карыстальнікаў.

Першае ў галіны рашэнне SquareX для выяўлення і рэагавання ў браўзеры (BDR) выкарыстоўвае арыентаваны на атакі падыход да бяспекі браўзера, гарантуючы карпаратыўным карыстальнікам абарону ад пашыраных пагроз, такіх як шкоднасныя QR-коды, фішынг браўзера ў браўзеры, шкоднасныя праграмы на аснове макрасаў, і іншыя вэб-атакі, якія ахопліваюць шкоднасныя файлы, вэб-сайты, скрыпты і ўзламаныя сеткі.

Дзякуючы SquareX прадпрыемствы могуць прадастаўляць падрадчыкам і аддаленым супрацоўнікам бяспечны доступ да ўнутраных праграм і карпаратыўнага SaaS, а таксама пераўтвараць браўзеры на BYOD / некіравальных прыладах у давераныя сеансы прагляду.