PALO ALTO, USA, 2025. január 30./CyberNewsWire/--SquareX egy új támadási technikát mutat be, amely megmutatja, hogyan lehet rosszindulatú bővítményekkel teljesen eltéríteni a böngészőt, és végül az egész eszközt.  A böngészőbővítmények a közelmúltban a vállalati biztonsági hírek reflektorfényébe kerültek a Chrome-bővítmények fejlesztői elleni OAuth-támadások és az adatszivárgási támadások miatt.  Mostanáig azonban a böngészőgyártók által a bővítmény-alrendszerre és a bővítményekre vonatkozó korlátozások miatt úgy gondolták, hogy a bővítmények nem képesek teljes irányítást szerezni a böngésző, még kevésbé az eszköz felett.  Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy és Pankaj Sharma kutatók cáfolták ezt a hiedelmet azzal, hogy bemutatták, hogyan tudnak a támadók rosszindulatú bővítmények segítségével kiterjeszteni jogosultságukat teljes körű böngésző- és eszközátvételre, mindezt minimális felhasználói beavatkozással.   SquareX  Kritikus szempont, hogy a rosszindulatú bővítmény csak olvasási/írási képességeket igényel a Chrome Store böngészőbővítményeinek többségében, beleértve az olyan általános hatékonyságnövelő eszközöket, mint a Grammarly, a Calendly és a Loom, amelyek érzékenyítik a felhasználókat az engedélyek megadására.  Ez a feltárás arra utal, hogy gyakorlatilag bármely böngészőbővítmény potenciálisan támadási vektorként szolgálhat, ha egy támadó létrehozza vagy átveszi. Legjobb megértésünk szerint a Chrome Store-hoz benyújtott, ezeket a funkciókat igénylő bővítményeket jelen írás idején nem vetik alá további biztonsági vizsgálatnak.  A böngésző szinkronjavító támadása három részre bontható: hogyan ad hozzá a bővítmény csendben a támadó által kezelt profilt, eltéríti a böngészőt, és végül átveszi az eszköz teljes irányítását.  Profil eltérítés  A támadás azzal kezdődik, hogy egy alkalmazott telepít bármilyen böngészőbővítményt – ez magában foglalhatja a mesterséges intelligencia-eszköznek álcázott bővítmény közzétételét vagy a meglévő népszerű bővítmények átvételét, amelyek összességében akár több millió telepítést is tartalmazhatnak.  A bővítmény ezután „csendben” hitelesíti az áldozatot egy Chrome-profilban, amelyet a támadó Google Workspace kezel. Mindez automatizált módon, egy háttérablakban történik, így az egész folyamat szinte észrevehetetlen az áldozat számára.  Ha ez a hitelesítés megtörténik, a támadó teljes ellenőrzést gyakorol az újonnan felügyelt profil felett az áldozat böngészőjében, lehetővé téve számára, hogy automatizált házirendeket, például a biztonságos böngészés letiltását és más biztonsági funkciókat lehessen tolni.  Egy nagyon okos social engineering támadást használva, amely a megbízható domaineket használja ki, az ellenfél ezután tovább fokozhatja a profil-eltérítő támadást, hogy jelszavakat lopjon el az áldozat böngészőjéből. A rosszindulatú bővítmény például megnyithatja és módosíthatja a Google hivatalos támogatási oldalát a felhasználói fiókok szinkronizálásával kapcsolatban, így néhány kattintással felszólíthatja az áldozatot, hogy hajtsa végre a szinkronizálást.  A profil szinkronizálása után a támadók teljes hozzáféréssel rendelkeznek az összes helyileg tárolt hitelesítő adathoz és böngészési előzményhez. Mivel ez a támadás csak a legális webhelyeket használja fel, és nincs látható jele annak, hogy a bővítmény módosította volna, nem indít vészharangot a hálózati forgalmat figyelő biztonsági megoldásokban.  Böngésző átvétele  A teljes böngészőátvétel eléréséhez a támadónak alapvetően az áldozat Chrome böngészőjét felügyelt böngészővé kell alakítania.  Ugyanez a bővítmény figyeli és elfogja a jogszerű letöltéseket, például a Zoom-frissítést, és lecseréli a támadó végrehajtható fájljára, amely egy regisztrációs tokent és rendszerleíró bejegyzést tartalmaz, hogy az áldozat Chrome böngészőjét felügyelt böngészővé alakítsa.  Azt gondolva, hogy letöltöttek egy Zoom-frissítőt, az áldozat végrehajtja a fájlt, ami végül egy rendszerleíró bejegyzést telepít, amely utasítja a böngészőt, hogy a támadó Google Workspace-je kezelje.  Ez lehetővé teszi a támadó számára, hogy teljes irányítást szerezzen az áldozat böngészője felett, így letilthatja a biztonsági funkciókat, telepíthet további rosszindulatú bővítményeket, kiszűrheti az adatokat, és akár csendben is átirányíthatja a felhasználókat az adathalász webhelyekre. Ez a támadás rendkívül erős, mivel nincs vizuális különbség a felügyelt és a nem felügyelt böngészők között.  A rendszeres felhasználó számára nincs árulkodó jele annak, hogy kiváltságkiterjesztés történt, kivéve, ha az áldozat nagyon tisztában van a biztonsággal, és mindent megtesz, hogy rendszeresen ellenőrizze böngészője beállításait, és keressen egy ismeretlen Google Workspace-fiókkal való összefüggést.  Eszközeltérítés  Ugyanezzel a fent letöltött fájllal a támadó emellett beszúrhatja a rosszindulatú kiterjesztéshez szükséges beállításjegyzék-bejegyzéseket, hogy üzenetet küldhessen a natív alkalmazásoknak. Ez lehetővé teszi a bővítmény számára, hogy további hitelesítés nélkül közvetlenül kommunikáljon a helyi alkalmazásokkal.  A kapcsolat létrejötte után a támadók a bővítményt a helyi héjjal és más elérhető natív alkalmazásokkal együtt használhatják, hogy titokban bekapcsolják az eszköz kameráját, hangot rögzítsenek, képernyőket rögzítsenek és rosszindulatú szoftvereket telepítsenek – lényegében teljes hozzáférést biztosítva az összes alkalmazáshoz és bizalmas adathoz. a készüléken.  A böngésző-szinkronizáló támadás alapvető hibára bukkan a távolról felügyelt profilok és böngészők kezelésében. Ma már bárki létrehozhat új domainhez és böngészőbővítményhez kötött felügyelt munkaterület-fiókot, mindenféle személyazonosság-ellenőrzés nélkül, ami lehetetlenné teszi ezeknek a támadásoknak a tulajdoníthatóságát.  Sajnos a legtöbb vállalat jelenleg nem látja a böngészőt – a legtöbbnek nincs felügyelt böngészője vagy profilja, és nem látják az alkalmazottak által gyakran felkapott eszközök és közösségimédia-ajánlások alapján telepített bővítményeket.  A támadást az teszi különösen veszélyessé, hogy minimális engedélyekkel és szinte felhasználói beavatkozás nélkül működik, csupán egy finom social engineering lépést igényel megbízható webhelyek használatával – ami szinte lehetetlenné teszi az alkalmazottak észlelését.  Míg a közelmúltban történt incidensek, mint például a Cyberhaven-betörés, már több száz, ha nem több ezer szervezetet veszélyeztettek, ezek a támadások viszonylag összetett társadalmi tervezést igényeltek. Ennek a támadásnak a pusztítóan finom természete – a felhasználói interakció rendkívül alacsony küszöbével – nemcsak rendkívül erőssé teszi ezt a támadást, hanem rávilágít arra a félelmetes lehetőségre is, hogy az ellenfelek már ma is használják ezt a technikát a vállalatok kompromittálására.  Hacsak egy szervezet nem úgy dönt, hogy teljesen letiltja a böngészőbővítményeket felügyelt böngészőkön keresztül, a böngésző szinkronjavító támadása teljesen megkerüli a meglévő tiltólistákat és engedélyalapú házirendeket.  A SquareX alapítója  „Ez a kutatás egy kritikus holtfoltot tár fel a vállalati biztonságban. A hagyományos biztonsági eszközök egyszerűen nem látják vagy nem tudják megállítani ezeket a kifinomult böngészőalapú támadásokat. Ez a felfedezés különösen riasztóvá teszi, hogy az ártatlannak tűnő böngészőbővítményeket teljes eszközátvételi eszközökké varázsolja, miközben a hagyományos biztonsági intézkedések, például az EDR-ek és a SASE/SSE Secure Web Gateway-ek radarja alatt repül. A böngésző észlelési és válaszadási megoldása már nem csak egy lehetőség, hanem szükséglet. A böngészőszintű láthatóság és ellenőrzés nélkül a szervezetek lényegében tárva-nyitva hagyják bejárati ajtóikat a támadók előtt. Ez a támadási technika azt mutatja be, hogy a biztonságnak miért kell oda, ahol a fenyegetés ténylegesen megtörténik: magában a böngészőben.”   Vivek Ramachandran  A SquareX úttörő biztonsági kutatást végzett a böngészőbővítmények terén, beleértve a DEF CON 32 beszélgetést is  amely több MV3-kompatibilis rosszindulatú bővítményt tárt fel.   Sneaky Extensions: Az MV3 Escape Artists  Ez a kutatócsoport volt az első, aki felfedezte és nyilvánosságra hozta a  egy héttel a  . A SquareX is felelős volt a felfedezésért  támadások, az ügyféloldali támadások új osztálya, amely kihasználja az építészeti hibákat, és teljesen megkerül minden Secure Web Gateway megoldást.   OAuth-támadás a Chrome-bővítmények fejlesztői ellen   Cyberhaven megsértése   Utolsó mérföld összeszerelés  E kutatás alapján a SquareX iparágban elsőként működő Böngészőészlelési és Válaszadási megoldása megvédi a vállalatokat a fejlett bővítményalapú támadásoktól, beleértve az eszköz-eltérítési kísérleteket, dinamikus elemzést végezve a böngészőbővítmények összes tevékenységére futás közben, kockázati pontszámot biztosítva a vállalat összes aktív bővítményére, és tovább azonosítja azokat a támadásokat, amelyekkel szemben sebezhetőek lehetnek.  A böngésző szinkronizálási támadással kapcsolatos további információkért a kutatás további eredményei a következő címen érhetők el  .   sqrx.com/research  A SquareX-ről  segít a szervezeteknek valós időben észlelni, mérsékelni és fenyegetésvadászni a felhasználóik elleni ügyféloldali webes támadásokat.   SquareX  A SquareX iparágban elsőként működő Browser Detection and Response (BDR) megoldása támadás-központú megközelítést alkalmaz a böngészőbiztonság terén, biztosítva a vállalati felhasználók védelmét olyan fejlett fenyegetések ellen, mint a rosszindulatú QR-kódok, a böngészőben adathalászat, a makró alapú rosszindulatú programok és egyéb webes támadások, amelyek rosszindulatú fájlokat, webhelyeket, szkripteket és feltört hálózatokat foglalnak magukban.  Ezenkívül a SquareX-szel a vállalatok biztonságos hozzáférést biztosíthatnak a vállalkozóknak és a távoli dolgozóknak a belső alkalmazásokhoz, a vállalati SaaS-hez, és átalakíthatják a BYOD / nem felügyelt eszközök böngészőit megbízható böngészési munkamenetekké.  Érintkezés  PR vezetője  Junice Liew  SquareX  junice@sqrx.com  Ezt a történetet kiadásként a Cybernewswire terjesztette a HackerNoon Business Blogging Program keretében. Tudjon meg többet a programról   itt

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

Ez a hanganyag a történet eredeti nyelvén készült!

A SquareX nyilvánosságra hozza a „böngészőszinkronjacking”-et, egy új támadási technikát, amely milliókat tesz kockára

About Author

HOZZÁSZÓLÁSOK

HANG TAGOK

EZT A CIKKET BEMUTATTA

Related Stories

INTRODUCTION

Of The First and Last Things: Part 3

HackerNoon Raises $250k at $50M Valuation From Forward Research

THE HABITS OF INSECTS IN RELATION TO THE FERTILISATION OF FLOWERS

INTRODUCTION

Of The First and Last Things: Part 3

HackerNoon Raises $250k at $50M Valuation From Forward Research

THE HABITS OF INSECTS IN RELATION TO THE FERTILISATION OF FLOWERS

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps