PALO ALTO, USA, 30. tammikuuta 2025/CyberNewsWire/--SquareX paljastaa uuden hyökkäystekniikan, joka osoittaa, kuinka haitallisia laajennuksia voidaan käyttää selaimen ja lopulta koko laitteen kaappaamiseen. Selainlaajennukset ovat olleet viime aikoina yritysten tietoturvauutisten valokeilassa Chrome-laajennusten kehittäjiin kohdistuneiden OAuth-hyökkäysten ja tietojen suodatushyökkäysten vuoksi. Tähän asti selainvalmistajien laajennusalijärjestelmään ja laajennuksiin asettamien rajoitusten vuoksi on kuitenkin ajateltu, että laajennukset eivät pysty hallitsemaan täysin selainta, saati laitetta. Tutkijat Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy ja Pankaj Sharma kumosivat tämän uskomuksen osoittamalla, kuinka hyökkääjät voivat käyttää haitallisia laajennuksia laajentaakseen oikeuksia täyden selaimen ja laitteen haltuunottoa varten, kaikki ilman käyttäjän vuorovaikutusta. SquareX Haitallinen laajennus vaatii vain luku-/kirjoitusominaisuuksia, jotka ovat useimmissa Chrome Storen selainlaajennuksissa, mukaan lukien yleiset tuottavuustyökalut, kuten Grammarly, Calendly ja Loom, jotka estävät käyttäjiä myöntämästä näitä oikeuksia. Tämä paljastus viittaa siihen, että käytännöllisesti katsoen mikä tahansa selainlaajennus voisi toimia hyökkäysvektorina, jos hyökkääjä luo tai ottaa sen haltuunsa. Parhaan ymmärryksemme mukaan näitä ominaisuuksia pyytäville Chrome Storeen lähetetyille laajennuksille ei suoriteta lisätietoturvatarkastuksia tätä kirjoitettaessa. Selaimen synkronointihyökkäys voidaan jakaa kolmeen osaan: kuinka laajennus lisää hiljaa hyökkääjän hallinnoiman profiilin, kaappaa selaimen ja saa lopulta laitteen täyden hallintaansa. Profiilin kaappaus Hyökkäys alkaa siitä, että työntekijä asentaa minkä tahansa selainlaajennuksen – tämä voi tarkoittaa tekoälytyökaluksi naamioituneen selainlaajennuksen julkaisemista tai olemassa olevien suosittujen laajennusten haltuunottoa, joissa voi olla yhteensä jopa miljoonia asennuksia. Laajennus todentaa sitten "hiljaisesti" uhrin Chrome-profiiliin, jota hallitsee hyökkääjän Google Workspace. Tämä kaikki tehdään automaattisesti taustaikkunassa, mikä tekee koko prosessista lähes huomaamattoman uhrille. Kun tämä todennus tapahtuu, hyökkääjä hallitsee täysin uhrin selaimen äskettäin hallittua profiilia, jolloin hän voi työntää automatisoituja käytäntöjä, kuten selausturvan ja muiden suojausominaisuuksien poistamista käytöstä. Käyttämällä erittäin fiksua sosiaalisen manipuloinnin hyökkäystä, joka hyödyntää luotettavia verkkotunnuksia, vastustaja voi entisestään eskaloida profiilikaappaushyökkäystä varastaakseen salasanoja uhrin selaimesta. Haitallinen laajennus voi esimerkiksi avata ja muokata Googlen virallista käyttäjätilien synkronointia koskevaa tukisivua ja kehottaa uhria suorittamaan synkronoinnin muutamalla napsautuksella. Kun profiili on synkronoitu, hyökkääjillä on täysi pääsy kaikkiin paikallisesti tallennettuihin tunnistetietoihin ja selaushistoriaan. Koska tämä hyökkäys hyödyntää vain laillisia sivustoja, eikä siinä ole näkyvää merkkiä siitä, että laajennus olisi muokannut sitä, se ei laukaise hälytyskelloja missään verkkoliikennettä valvovissa tietoturvaratkaisuissa. Selaimen haltuunotto Selaimen täyden haltuunoton saavuttamiseksi hyökkääjän on olennaisesti muutettava uhrin Chrome-selain hallituksi selaimeksi. Sama laajennus valvoo ja sieppaa laillista latausta, kuten Zoom-päivitystä, ja korvaa sen hyökkääjän suoritettavalla tiedostolla, joka sisältää rekisteröintitunnuksen ja rekisterimerkinnän, joka muuttaa uhrin Chrome-selaimen hallituksi selaimeksi. Uhri luulee ladaneensa Zoom-päivityksen ja suorittaa tiedoston, mikä päätyy asentamaan rekisterimerkinnän, joka käskee selaimen siirtymään hyökkääjän Google Workspacen hallintaan. Tämän ansiosta hyökkääjä voi saada täyden hallinnan uhrin selaimeen ja poistaa suojausominaisuudet käytöstä, asentaa lisää haitallisia laajennuksia, suodattaa tietoja ja jopa ohjata käyttäjiä hiljaa tietojenkalastelusivustoille. Tämä hyökkäys on erittäin tehokas, koska hallitun ja hallitsemattoman selaimen välillä ei ole visuaalista eroa. Tavalliselle käyttäjälle ei ole merkkiä siitä, että oikeudet ovat eskaloituneet, ellei uhri ole erittäin tietoinen turvallisuudesta ja tekee parhaansa tarkistaakseen säännöllisesti selaimensa asetukset ja etsiäkseen yhteyttä tuntemattomaan Google Workspace -tiliin. Laitteen kaappaus Yllä olevalla ladatulla tiedostolla hyökkääjä voi lisäksi lisätä haitallisen laajennuksen edellyttämiä rekisterimerkintöjä lähettääkseen viestejä alkuperäisille sovelluksille. Tämän ansiosta laajennus voi olla suoraan vuorovaikutuksessa paikallisten sovellusten kanssa ilman lisätodennusta. Kun yhteys on muodostettu, hyökkääjät voivat käyttää laajennusta yhdessä paikallisen komentotulkin ja muiden saatavilla olevien alkuperäisten sovellusten kanssa kytkeäkseen salaa päälle laitteen kameran, kaapatakseen ääntä, tallentaakseen näyttöjä ja asentaakseen haittaohjelmia. laitteessa. Selaimen synkronointihyökkäys paljastaa perustavanlaatuisen puutteen tavassa, jolla etähallittuja profiileja ja selaimia hallitaan. Nykyään kuka tahansa voi luoda uuteen verkkotunnukseen ja selainlaajennukseen sidotun hallitun työtilan tilin ilman minkäänlaista henkilöllisyyden vahvistusta, mikä tekee näiden hyökkäysten antamisen mahdottomaksi. Valitettavasti useimmilla yrityksillä ei ole tällä hetkellä selaimen näkyvyyttä - useimmilla ei ole hallittuja selaimia tai profiileja, eikä työntekijöiden asentamien laajennusten näkyvyyttä usein trendityökalujen ja sosiaalisen median suositusten perusteella. Tästä hyökkäyksestä erityisen vaarallisen tekee se, että se toimii minimaalisilla käyttöoikeuksilla ja lähes ilman käyttäjän vuorovaikutusta, mikä edellyttää vain hienovaraista manipulointivaihetta luotettujen verkkosivustojen avulla, mikä tekee työntekijöiden havaitsemisen lähes mahdottomaksi. Vaikka viimeaikaiset tapahtumat, kuten Cyberhaven-murto, ovat jo vaarantaneet satoja, ellei tuhansia organisaatioita, nämä hyökkäykset vaativat suhteellisen monimutkaista sosiaalista suunnittelua toimiakseen. Tämän hyökkäyksen tuhoisan hienovarainen luonne – äärimmäisen alhainen käyttäjän vuorovaikutuksen kynnys – ei ainoastaan tee tästä hyökkäyksestä äärimmäisen voimakasta, vaan myös valaisee sitä pelottavaa mahdollisuutta, että vastustajat käyttävät jo tätä tekniikkaa vaarantaakseen yrityksiä nykyään. Ellei organisaatio päätä kokonaan estää selainlaajennuksia hallinnoitujen selainten kautta, selaimen synkronointihyökkäys ohittaa kokonaan olemassa olevat mustat listat ja käyttöoikeuksiin perustuvat käytännöt. SquareX:n perustaja sanoo "Tämä tutkimus paljastaa kriittisen sokean pisteen yrityksen tietoturvassa. Perinteiset suojaustyökalut eivät yksinkertaisesti pysty havaitsemaan tai pysäyttämään näitä kehittyneitä selainpohjaisia hyökkäyksiä. Tästä löydöstä erityisen hälyttävän tekee se, kuinka se asettaa viattomalta vaikuttavat selainlaajennukset täydellisiksi laitteiden haltuunottotyökaluiksi, samalla kun ne lentävät tavanomaisten turvatoimien, kuten EDR:ien ja SASE/SSE Secure Web Gateway -yhdyskäytävän, tutkan alaisina. Selaimen tunnistus-vastausratkaisu ei ole enää vain vaihtoehto – se on välttämättömyys. Ilman näkyvyyttä ja hallintaa selaintasolla organisaatiot jättävät etuovensa periaatteessa auki hyökkääjille. Tämä hyökkäystekniikka osoittaa, miksi tietoturvan on "siirryttävä" sinne, missä uhat todella tapahtuvat: itse selaimessa." Vivek Ramachandran SquareX on tehnyt uraauurtavaa tietoturvatutkimusta selainlaajennuksista, mukaan lukien DEF CON 32 -keskustelu joka paljasti useita MV3-yhteensopivia haitallisia laajennuksia. Sneaky Extensions: MV3 Escape Artists Tämä tutkimusryhmä oli myös ensimmäinen, joka löysi ja paljasti viikkoa ennen . SquareX oli myös vastuussa löydöstä hyökkäykset, uusi asiakaspuolen hyökkäysluokka, joka hyödyntää arkkitehtonisia puutteita ja ohittaa täysin kaikki Secure Web Gateway -ratkaisut. OAuth-hyökkäys Chrome-laajennusten kehittäjiä vastaan Cyberhavenin murto Viimeisen kilometrin kokoaminen Tämän tutkimuksen perusteella SquareX:n alan ensimmäinen Browser Detection and Response -ratkaisu suojaa yrityksiä edistyneiltä laajennuspohjaisilta hyökkäyksiltä, mukaan lukien laitekaappausyritykset, suorittamalla dynaamisen analyysin kaikista selainlaajennuksista suorituksen aikana ja antaa riskipisteet kaikille aktiivisille laajennuksille koko yrityksessä ja tunnistaa edelleen mahdolliset hyökkäykset, joille he voivat olla alttiina. Lisätietoja selaimen synkronointihyökkäyksestä saat tämän tutkimuksen lisälöydöksistä osoitteessa . sqrx.com/research Tietoja SquareX:stä auttaa organisaatioita havaitsemaan, lieventämään ja etsimään uhkia käyttäjiään vastaan kohdistuvia asiakaspuolen verkkohyökkäyksiä reaaliajassa. SquareX SquareX:n alan ensimmäinen BDR (Browser Detection and Response) -ratkaisu ottaa hyökkäyskeskeisen lähestymistavan selaimen tietoturvaan ja varmistaa, että yrityskäyttäjät ovat suojassa edistyneiltä uhilta, kuten haitallisilta QR-koodeilta, selaimen selaimen tietojenkalastelulta, makropohjaisilta haittaohjelmilta ja muut verkkohyökkäykset, jotka sisältävät haitallisia tiedostoja, verkkosivustoja, komentosarjoja ja vaarantuneita verkkoja. Lisäksi SquareX:n avulla yritykset voivat tarjota urakoitsijoille ja etätyöntekijöille suojatun pääsyn sisäisiin sovelluksiin, yrityksen SaaS-palveluun ja muuntaa BYOD/unmanaged-laitteiden selaimet luotetuiksi selausistunnoiksi. Ota yhteyttä PR-johtaja Junice Liew SquareX junice@sqrx.com Cybernewswire jakoi tämän jutun julkaisuna HackerNoonin Business Blogging Program -ohjelman puitteissa. Lisätietoja ohjelmasta tässä
