PALO ALTO, ΗΠΑ, 30 Ιανουαρίου 2025/CyberNewsWire/--SquareX αποκαλύπτει μια νέα τεχνική επίθεσης που δείχνει πώς μπορούν να χρησιμοποιηθούν κακόβουλες επεκτάσεις για την πλήρη παραβίαση του προγράμματος περιήγησης και, τελικά, ολόκληρης της συσκευής. Οι επεκτάσεις προγράμματος περιήγησης βρέθηκαν πρόσφατα στο προσκήνιο στις ειδήσεις για την ασφάλεια των επιχειρήσεων λόγω του κύματος επιθέσεων OAuth σε προγραμματιστές επεκτάσεων Chrome και επιθέσεων εξαγωγής δεδομένων. Ωστόσο, μέχρι τώρα, λόγω των περιορισμών που θέτουν οι προμηθευτές προγραμμάτων περιήγησης στο υποσύστημα και τις επεκτάσεις επεκτάσεων, θεωρείτο ότι ήταν αδύνατο για τις επεκτάσεις να αποκτήσουν τον πλήρη έλεγχο του προγράμματος περιήγησης, πολύ περισσότερο της συσκευής. Οι ερευνητές Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy και Pankaj Sharma κατέρριψαν αυτήν την πεποίθηση, αποδεικνύοντας πώς οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν κακόβουλες επεκτάσεις για να κλιμακώσουν τα προνόμια για την πλήρη κατάληψη του προγράμματος περιήγησης και της συσκευής, όλα με ελάχιστη αλληλεπίδραση χρήστη. SquareX Ουσιαστικά, η κακόβουλη επέκταση απαιτεί μόνο δυνατότητες ανάγνωσης/εγγραφής που υπάρχουν στην πλειονότητα των επεκτάσεων του προγράμματος περιήγησης στο Chrome Store, συμπεριλαμβανομένων κοινών εργαλείων παραγωγικότητας όπως τα Grammarly, Calendly και Loom, που απευαισθητοποιούν τους χρήστες από τη χορήγηση αυτών των αδειών. Αυτή η αποκάλυψη υποδηλώνει ότι σχεδόν οποιαδήποτε επέκταση προγράμματος περιήγησης θα μπορούσε ενδεχομένως να χρησιμεύσει ως φορέας επίθεσης εάν δημιουργηθεί ή καταληφθεί από έναν εισβολέα. Από όσο καταλαβαίνουμε, οι επεκτάσεις που υποβάλλονται στο Chrome Store που ζητούν αυτές τις δυνατότητες δεν υπόκεινται σε πρόσθετο έλεγχο ασφαλείας τη στιγμή της σύνταξης αυτής της παρούσας. Η επίθεση συγχρονισμού του προγράμματος περιήγησης μπορεί να χωριστεί σε τρία μέρη: πώς η επέκταση προσθέτει αθόρυβα ένα προφίλ που διαχειρίζεται ο εισβολέας, παρασύρει το πρόγραμμα περιήγησης και τελικά αποκτά τον πλήρη έλεγχο της συσκευής. Προφίλ κλοπής Η επίθεση ξεκινά όταν ένας υπάλληλος εγκαθιστά οποιαδήποτε επέκταση προγράμματος περιήγησης - αυτό θα μπορούσε να περιλαμβάνει τη δημοσίευση μιας που μεταμφιέζεται ως εργαλείο τεχνητής νοημοσύνης ή την ανάληψη υπαρχουσών δημοφιλών επεκτάσεων που μπορεί να έχουν έως και εκατομμύρια εγκαταστάσεις συνολικά. Στη συνέχεια, η επέκταση «σιωπηλά» επαληθεύει την ταυτότητα του θύματος σε ένα προφίλ Chrome που διαχειρίζεται το Google Workspace του εισβολέα. Όλα αυτά γίνονται με αυτοματοποιημένο τρόπο σε ένα παράθυρο φόντου, καθιστώντας την όλη διαδικασία σχεδόν ανεπαίσθητη στο θύμα. Μόλις πραγματοποιηθεί αυτός ο έλεγχος ταυτότητας, ο εισβολέας έχει τον πλήρη έλεγχο του προφίλ που διαχειρίζεται πρόσφατα στο πρόγραμμα περιήγησης του θύματος, επιτρέποντάς του να προωθήσει αυτοματοποιημένες πολιτικές όπως η απενεργοποίηση της ασφαλούς περιήγησης και άλλων λειτουργιών ασφαλείας. Χρησιμοποιώντας μια πολύ έξυπνη επίθεση κοινωνικής μηχανικής που εκμεταλλεύεται αξιόπιστους τομείς, ο αντίπαλος μπορεί στη συνέχεια να κλιμακώσει περαιτέρω την επίθεση πειρατείας προφίλ για να κλέψει κωδικούς πρόσβασης από το πρόγραμμα περιήγησης του θύματος. Για παράδειγμα, η κακόβουλη επέκταση μπορεί να ανοίξει και να τροποποιήσει την επίσημη σελίδα υποστήριξης της Google σχετικά με τον τρόπο συγχρονισμού των λογαριασμών χρηστών, ώστε να ζητηθεί από το θύμα να εκτελέσει το συγχρονισμό με λίγα μόνο κλικ. Μόλις συγχρονιστεί το προφίλ, οι εισβολείς έχουν πλήρη πρόσβαση σε όλα τα διαπιστευτήρια και το ιστορικό περιήγησης που είναι αποθηκευμένα τοπικά. Καθώς αυτή η επίθεση αξιοποιεί μόνο νόμιμες τοποθεσίες και δεν έχει ορατό σημάδι ότι έχει τροποποιηθεί από την επέκταση, δεν θα ενεργοποιήσει κανένα κώδωνα κινδύνου σε οποιεσδήποτε λύσεις ασφαλείας που παρακολουθούν την κυκλοφορία του δικτύου. Εξαγορά προγράμματος περιήγησης Για να επιτύχει πλήρη κατάληψη του προγράμματος περιήγησης, ο εισβολέας πρέπει ουσιαστικά να μετατρέψει το πρόγραμμα περιήγησης Chrome του θύματος σε διαχειριζόμενο πρόγραμμα περιήγησης. Η ίδια επέκταση παρακολουθεί και παρεμποδίζει μια νόμιμη λήψη, όπως μια ενημέρωση Zoom, και την αντικαθιστά με το εκτελέσιμο αρχείο του εισβολέα, το οποίο περιέχει ένα διακριτικό εγγραφής και μια καταχώρηση μητρώου για να μετατρέψει το πρόγραμμα περιήγησης Chrome του θύματος σε διαχειριζόμενο πρόγραμμα περιήγησης. Νομίζοντας ότι κατέβασε ένα πρόγραμμα ενημέρωσης Zoom, το θύμα εκτελεί το αρχείο, το οποίο καταλήγει να εγκαταστήσει μια καταχώρηση μητρώου που δίνει εντολή στο πρόγραμμα περιήγησης να γίνει διαχείριση από το Google Workspace του εισβολέα. Αυτό επιτρέπει στον εισβολέα να αποκτήσει τον πλήρη έλεγχο του προγράμματος περιήγησης του θύματος για να απενεργοποιήσει τις λειτουργίες ασφαλείας, να εγκαταστήσει πρόσθετες κακόβουλες επεκτάσεις, να διευρύνει δεδομένα και ακόμη και να ανακατευθύνει σιωπηλά τους χρήστες σε ιστότοπους phishing. Αυτή η επίθεση είναι εξαιρετικά ισχυρή καθώς δεν υπάρχει οπτική διαφορά μεταξύ ενός διαχειριζόμενου και ενός μη διαχειριζόμενου προγράμματος περιήγησης. Για έναν τακτικό χρήστη, δεν υπάρχει κανένα ενδεικτικό σημάδι ότι έχει σημειωθεί κλιμάκωση προνομίων, εκτός εάν το θύμα γνωρίζει πολύ καλά την ασφάλεια και καταβάλλει κάθε δυνατή προσπάθεια για να επιθεωρεί τακτικά τις ρυθμίσεις του προγράμματος περιήγησής του και να αναζητά συσχετίσεις με έναν άγνωστο λογαριασμό Google Workspace. Παραβίαση συσκευής Με το ίδιο ληφθέν αρχείο παραπάνω, ο εισβολέας μπορεί επιπλέον να εισαγάγει καταχωρήσεις μητρώου που απαιτούνται για την κακόβουλη επέκταση για να στείλει μηνύματα σε εγγενείς εφαρμογές. Αυτό επιτρέπει στην επέκταση να αλληλεπιδρά απευθείας με τοπικές εφαρμογές χωρίς περαιτέρω έλεγχο ταυτότητας. Μόλις δημιουργηθεί η σύνδεση, οι εισβολείς μπορούν να χρησιμοποιήσουν την επέκταση σε συνδυασμό με το τοπικό κέλυφος και άλλες διαθέσιμες εγγενείς εφαρμογές για να ενεργοποιήσουν κρυφά την κάμερα της συσκευής, να καταγράψουν ήχο, να εγγράψουν οθόνες και να εγκαταστήσουν κακόβουλο λογισμικό - ουσιαστικά παρέχοντας πλήρη πρόσβαση σε όλες τις εφαρμογές και εμπιστευτικά δεδομένα στη συσκευή. Η επίθεση συγχρονισμού προγράμματος περιήγησης αποκαλύπτει ένα θεμελιώδες ελάττωμα στον τρόπο διαχείρισης των προφίλ και των προγραμμάτων περιήγησης που διαχειρίζονται απομακρυσμένα. Σήμερα, οποιοσδήποτε μπορεί να δημιουργήσει έναν λογαριασμό διαχειριζόμενου χώρου εργασίας συνδεδεμένο με έναν νέο τομέα και μια επέκταση προγράμματος περιήγησης χωρίς καμία μορφή επαλήθευσης ταυτότητας, καθιστώντας αδύνατη την απόδοση αυτών των επιθέσεων. Δυστυχώς, οι περισσότερες επιχειρήσεις έχουν επί του παρόντος μηδενική ορατότητα στο πρόγραμμα περιήγησης - οι περισσότερες δεν διαθέτουν διαχειριζόμενα προγράμματα περιήγησης ή προφίλ, ούτε ορατότητα στις επεκτάσεις που εγκαθιστούν οι εργαζόμενοι συχνά με βάση τα μοντέρνα εργαλεία και τις συστάσεις των μέσων κοινωνικής δικτύωσης. Αυτό που κάνει αυτήν την επίθεση ιδιαίτερα επικίνδυνη είναι ότι λειτουργεί με ελάχιστες άδειες και σχεδόν καμία αλληλεπίδραση με τον χρήστη, απαιτώντας μόνο ένα λεπτό βήμα κοινωνικής μηχανικής χρησιμοποιώντας αξιόπιστους ιστότοπους - καθιστώντας σχεδόν αδύνατο τον εντοπισμό των εργαζομένων. Ενώ πρόσφατα περιστατικά όπως η παραβίαση του Cyberhaven έχουν ήδη θέσει σε κίνδυνο εκατοντάδες, αν όχι χιλιάδες οργανισμούς, αυτές οι επιθέσεις απαιτούσαν σχετικά πολύπλοκη κοινωνική μηχανική για να λειτουργήσουν. Η καταστροφικά λεπτή φύση αυτής της επίθεσης - με εξαιρετικά χαμηλό όριο αλληλεπίδρασης με τους χρήστες - όχι μόνο καθιστά αυτήν την επίθεση εξαιρετικά ισχυρή, αλλά φωτίζει επίσης την τρομακτική πιθανότητα ότι οι αντίπαλοι χρησιμοποιούν ήδη αυτήν την τεχνική για να συμβιβάσουν τις επιχειρήσεις σήμερα. Εκτός εάν ένας οργανισμός επιλέξει να αποκλείσει πλήρως τις επεκτάσεις προγράμματος περιήγησης μέσω διαχειριζόμενων προγραμμάτων περιήγησης, η επίθεση συγχρονισμού προγράμματος περιήγησης θα παρακάμψει πλήρως τις υπάρχουσες μαύρες λίστες και τις πολιτικές που βασίζονται σε δικαιώματα. Ο ιδρυτής της SquareX λέει: «Αυτή η έρευνα αποκαλύπτει ένα κρίσιμο τυφλό σημείο στην ασφάλεια των επιχειρήσεων. Τα παραδοσιακά εργαλεία ασφαλείας απλά δεν μπορούν να δουν ή να σταματήσουν αυτές τις εξελιγμένες επιθέσεις που βασίζονται σε προγράμματα περιήγησης. Αυτό που κάνει αυτή την ανακάλυψη ιδιαίτερα ανησυχητική είναι ο τρόπος με τον οποίο οπλίζει τις φαινομενικά αθώες επεκτάσεις του προγράμματος περιήγησης σε πλήρη εργαλεία ανάκτησης συσκευών, όλα αυτά ενώ ελέγχονται από τα συμβατικά μέτρα ασφαλείας, όπως τα EDR και τα SASE/SSE Secure Web Gateways. Μια λύση ανίχνευσης-απόκρισης προγράμματος περιήγησης δεν είναι πλέον απλώς μια επιλογή - είναι μια αναγκαιότητα. Χωρίς ορατότητα και έλεγχο σε επίπεδο προγράμματος περιήγησης, οι οργανισμοί ουσιαστικά αφήνουν την εξώπορτά τους ορθάνοιχτη στους επιτιθέμενους. Αυτή η τεχνική επίθεσης καταδεικνύει γιατί η ασφάλεια πρέπει να «μετατοπιστεί» στο σημείο όπου συμβαίνουν πραγματικά οι απειλές: στο ίδιο το πρόγραμμα περιήγησης». Vivek Ramachandran Η SquareX διεξάγει πρωτοποριακή έρευνα ασφαλείας σε επεκτάσεις προγράμματος περιήγησης, συμπεριλαμβανομένης της ομιλίας DEF CON 32 που αποκάλυψε πολλαπλές κακόβουλες επεκτάσεις συμβατές με το MV3. Sneaky Extensions: The MV3 Escape Artists Αυτή η ερευνητική ομάδα ήταν επίσης η πρώτη που ανακάλυψε και αποκάλυψε το μια εβδομάδα πριν από την . Η SquareX ήταν επίσης υπεύθυνη για την ανακάλυψη του επιθέσεις, μια νέα κατηγορία επιθέσεων από την πλευρά του πελάτη που εκμεταλλεύεται αρχιτεκτονικά ελαττώματα και παρακάμπτει πλήρως όλες τις λύσεις Secure Web Gateway. Επίθεση OAuth σε προγραμματιστές επεκτάσεων Chrome Παραβίαση του Cyberhaven Επανασυναρμολόγηση του τελευταίου μιλίου Με βάση αυτήν την έρευνα, η πρώτη λύση εντοπισμού και απόκρισης προγράμματος περιήγησης της SquareX προστατεύει τις επιχειρήσεις από προηγμένες επιθέσεις που βασίζονται σε επεκτάσεις, συμπεριλαμβανομένων προσπαθειών πειρατείας συσκευών, πραγματοποιώντας δυναμική ανάλυση σε όλη τη δραστηριότητα των επεκτάσεων προγράμματος περιήγησης κατά την εκτέλεση, παρέχοντας βαθμολογία κινδύνου σε όλες τις ενεργές επεκτάσεις σε όλη την επιχείρηση και προσδιορίζοντας περαιτέρω τυχόν επιθέσεις στις οποίες μπορεί να είναι ευάλωτες. Για περισσότερες πληροφορίες σχετικά με την επίθεση συγχρονισμού του προγράμματος περιήγησης, επιπλέον ευρήματα από αυτήν την έρευνα είναι διαθέσιμα στη διεύθυνση . sqrx.com/research Σχετικά με το SquareX βοηθά τους οργανισμούς να εντοπίζουν, να μετριάζουν και να κυνηγούν απειλές επιθέσεις ιστού από την πλευρά του πελάτη που συμβαίνουν εναντίον των χρηστών τους σε πραγματικό χρόνο. SquareX Η πρώτη λύση εντοπισμού και απόκρισης προγράμματος περιήγησης (BDR) της SquareX, υιοθετεί μια προσέγγιση εστιασμένη στην επίθεση για την ασφάλεια του προγράμματος περιήγησης, διασφαλίζοντας ότι οι εταιρικοί χρήστες προστατεύονται από προηγμένες απειλές όπως κακόβουλους κωδικούς QR, phishing από το πρόγραμμα περιήγησης, κακόβουλο λογισμικό που βασίζεται σε μακροεντολές και άλλες επιθέσεις Ιστού που περιλαμβάνουν κακόβουλα αρχεία, ιστότοπους, σενάρια και παραβιασμένα δίκτυα. Επιπλέον, με το SquareX, οι επιχειρήσεις μπορούν να παρέχουν σε εργολάβους και απομακρυσμένους εργαζόμενους ασφαλή πρόσβαση σε εσωτερικές εφαρμογές, εταιρικό SaaS και να μετατρέπουν τα προγράμματα περιήγησης σε συσκευές BYOD / μη διαχειριζόμενες συσκευές σε αξιόπιστες περιόδους περιήγησης. Επαφή Επικεφαλής του PR Τζούνις Λιου SquareX junice@sqrx.com Αυτή η ιστορία διανεμήθηκε ως έκδοση από το Cybernewswire στο πλαίσιο του προγράμματος Business Blogging του HackerNoon. Μάθετε περισσότερα για το πρόγραμμα εδώ
