היסטוריה חדשה

חוקרי SquareX חושפים את התקפת OAuth על הרחבות Chrome ימים לפני הפרה גדולה

על ידי CyberNewswire4m2024/12/30

יותר מדי זמן; לקרוא

גרסה זדונית של תוסף הדפדפן של Cyberhaven פורסמה בחנות Chrome שאפשרה לתוקף לחטוף הפעלות מאומתות ולחלץ מידע סודי. התוסף היה זמין להורדה במשך יותר מ-30 שעות לפני שהוסרה על ידי Cyberhaven.

featured image - חוקרי SquareX חושפים את התקפת OAuth על הרחבות Chrome ימים לפני הפרה גדולה

PALO ALTO, קליפורניה, ארה"ב, 30 בדצמבר 2024/CyberNewsWire/--SquareX, פתרון זיהוי ותגובה של דפדפן (BDR) הראשון בתעשייה, מוביל את הדרך באבטחת דפדפן.

לפני כשבוע, SquareX דיווח התקפות בקנה מידה גדול המכוונות למפתחי תוסף Chrome במטרה להשתלט על תוסף Chrome מחנות Chrome.

ב-25 בדצמבר 2024 פורסמה בחנות Chrome גרסה זדונית של תוסף הדפדפן של Cyberhaven שאפשרה לתוקף לחטוף הפעלות מאומתות ולחלץ מידע סודי.

ה הרחבה זדונית היה זמין להורדה במשך יותר מ-30 שעות לפני שהוסרה על ידי Cyberhaven. החברה למניעת אובדן נתונים סירבה להגיב על מידת ההשפעה כאשר העיתונות פנתה אליה, אך להרחבה היו יותר מ-400,000 משתמשים ב- חנות Chrome בזמן הפיגוע.

לרוע המזל, המתקפה התרחשה כפי שעשו החוקרים של SquareX מְזוּהֶה התקפה דומה עם א וִידֵאוֹ הדגמה את כל מסלול התקיפה רק שבוע לפני פריצת סייברהבן.

המתקפה מתחילה באימייל דיוג המתחזה לחנות Chrome המכיל הפרה לכאורה של "הסכם המפתחים" של הפלטפורמה, שקורא למקבל לקבל את המדיניות כדי למנוע את הסרת התוסף שלו מחנות Chrome.

בלחיצה על כפתור המדיניות, המשתמש מקבל הנחיה לחבר את חשבון Google שלו ל"תוסף מדיניות פרטיות", המעניק לתוקף גישה לערוך, לעדכן ולפרסם הרחבות בחשבון המפתח.

איור 1. דיוג דואר אלקטרוני המיקוד למפתחי תוספים

איור 2. תוסף מדיניות פרטיות מזויף המבקש גישה "לערוך, לעדכן או לפרסם" את ההרחבה של המפתח

הרחבות הפכו לדרך פופולרית יותר ויותר עבור תוקפים לקבל גישה ראשונית.

הסיבה לכך היא שלרוב הארגונים יש יכולת מוגבלת לגבי הרחבות הדפדפן שהעובדים שלהם משתמשים בהם. אפילו צוותי האבטחה המחמירים ביותר בדרך כלל אינם עוקבים אחר עדכונים הבאים לאחר שתוסף מוכנס לרשימת ההיתרים.

SquareX ערכה מחקר מקיף והדגימה ב DEFCON 32, כיצד ניתן להשתמש בתוספים תואמי MV3 כדי לגנוב עדכוני זרם וידאו, להוסיף משתף פעולה שקט של GitHub וגניבת קובצי Cookie של הפעלה, בין היתר.

תוקפים יכולים ליצור תוסף לא מזיק לכאורה ולהמיר אותו מאוחר יותר לתוסף זדוני לאחר ההתקנה או, כפי שהודגם במתקפה למעלה, לרמות את המפתחים מאחורי תוסף מהימן כדי לקבל גישה לאחד שכבר יש לו מאות אלפי משתמשים.

במקרה של Cyberhaven, התוקפים הצליחו לגנוב אישורי חברה במספר אתרים ואפליקציות אינטרנט באמצעות הגרסה הזדונית של התוסף.

בהתחשב בכך שהודעות דוא"ל למפתחים רשומות באופן ציבורי בחנות Chrome, קל לתוקפים למקד לאלפי מפתחי תוספים בבת אחת.

הודעות דוא"ל אלו משמשות בדרך כלל לדיווח על באגים. לפיכך, גם מיילים תמיכה הרשומים עבור הרחבות מחברות גדולות יותר מנותבים בדרך כלל למפתחים שאולי אין להם את רמת המודעות לאבטחה הנדרשת כדי למצוא חשד במתקפה כזו.

בהתאם לחשיפת התקיפה של SquareX והפרת Cyberhaven שהתרחשה בטווח של פחות משבועיים, לחברה יש סיבה חזקה להאמין שספקי תוספי דפדפן רבים אחרים מותקפים באותו אופן. SquareX קורא לחברות ויחידים כאחד לערוך בדיקה מדוקדקת לפני התקנה או עדכון של הרחבות דפדפן כלשהן.

איור 3. פרטי הקשר של מפתחי תוספים זמינים לציבור בחנות Chrome

צוות SquareX מבין שזה יכול להיות לא טריוויאלי להעריך ולנטר כל תוסף דפדפן בכוח העבודה בתוך כל סדרי העדיפויות האבטחה המתחרים, במיוחד כשמדובר בהתקפות של יום אפס.

כפי שהודגם ב- וִידֵאוֹ , אפליקציית מדיניות הפרטיות המזויפת המעורבת בהפרה של Cyberhaven אפילו לא זוהתה על ידי עדכוני איומים פופולריים.

פתרון זיהוי ותגובה של דפדפן (BDR) של SquareX מוריד את המורכבות הזו מצוותי האבטחה על ידי:

חסימת אינטראקציות OAuth לאתרים לא מורשים כדי למנוע מעובדים לתת בטעות לתוקפים גישה לא מורשית לחשבון חנות Chrome שלך
חסימה ו/או סימון של עדכוני תוסף חשודים המכילים הרשאות חדשות ומסוכנות
חסימה ו/או סימון של הרחבות חשודות עם גל של ביקורות שליליות
חסימה ו/או סימון התקנות של הרחבות נטענות בצד
ייעל את כל הבקשות להתקנות הרחבות מחוץ לרשימה המוסמכת לאישור מהיר בהתבסס על מדיניות החברה
נראות מלאה על כל ההרחבות שהותקנו ומשתמשים בעובדים ברחבי הארגון

המייסד של SquareX Vivek Ramachandran מזהיר: "התקפות זהות המכוונות להרחבות דפדפן הדומות למתקפת OAuth זו רק יהפכו נפוצות יותר כאשר העובדים מסתמכים על יותר כלים מבוססי דפדפן כדי להיות פרודוקטיביים בעבודה. גרסאות דומות של התקפות אלה שימשו בעבר כדי לגנוב נתוני ענן מאפליקציות כמו Google Drive ו-One Drive, ורק נראה שהתוקפים יהיו יצירתיים יותר בניצול הרחבות דפדפן. חברות צריכות לשמור על ערנות ולמזער את הסיכון בשרשרת האספקה שלהן מבלי לפגוע בתפוקת העובדים על ידי ציודם עם הכלים המקוריים של הדפדפן הנכונים".

על SquareX:

SquareX עוזר לארגונים לזהות, להפחית ולצוד איומים התקפות אינטרנט בצד הלקוח המתרחשות נגד המשתמשים שלהם בזמן אמת.

הפתרון הראשון בתעשייה לזיהוי ותגובה של דפדפן (BDR), נוקט בגישה ממוקדת התקפה לאבטחת דפדפן, ומבטיח שמשתמשים ארגוניים מוגנים מפני איומים מתקדמים כמו קודי QR זדוניים, דיוג בדפדפן בדפדפן, תוכנות זדוניות מבוססות מאקרו, והתקפות אינטרנט אחרות הכוללות קבצים זדוניים, אתרי אינטרנט, סקריפטים ורשתות שנפגעו.

עם SquareX, ארגונים יכולים לספק לקבלנים ולעובדים מרוחקים גישה מאובטחת ליישומים פנימיים ו-SaaS ארגוניים, ולהמיר את הדפדפנים במכשירי BYOD / לא מנוהלים להפעלות גלישה מהימנות.