SquareX の研究者が、大規模な侵害の数日前に Chrome 拡張機能への OAuth 攻撃を暴露

米国カリフォルニア州パロアルト、2024 年 12 月 30 日 /CyberNewsWire/ -- 業界初のブラウザー検出および対応 (BDR) ソリューションである SquareX は、ブラウザー セキュリティをリードしています。

約1週間前、SquareX報告されたChrome 拡張機能の開発者を標的とした大規模な攻撃。Chrome ストアから Chrome 拡張機能を乗っ取ることを目的としています。

2024 年 12 月 25 日、Cyberhaven のブラウザ拡張機能の悪意のあるバージョンが Chrome ストアに公開され、攻撃者が認証されたセッションを乗っ取り、機密情報を盗み出すことが可能になりました。

の悪意のある拡張機能サイバーヘイブンによって削除されるまで、30時間以上ダウンロード可能だった。データ損失防止会社は報道陣の問い合わせに対し、影響の程度についてコメントを控えたが、この拡張機能は40万人以上のユーザーを抱えていた。 Chrome ストア攻撃当時。

残念ながら、攻撃はSquareXの研究者が予想していた通りに起こった。特定された同様の攻撃でビデオサイバーヘイブン侵害のわずか 1 週間前に、攻撃経路全体を実証しました。

この攻撃は、Chrome ストアを装ったフィッシング メールから始まります。このメールには、プラットフォームの「開発者契約」に違反しているとされる内容が含まれており、受信者にポリシーに同意するよう促して、拡張機能が Chrome ストアから削除されるのを防いでいます。

ポリシー ボタンをクリックすると、ユーザーは Google アカウントを「プライバシー ポリシー拡張機能」に接続するよう求められます。これにより、攻撃者は開発者のアカウントで拡張機能を編集、更新、公開できるようになります。

図1. 拡張機能開発者を狙ったフィッシングメール

図 2. 開発者の拡張機能を「編集、更新、公開」するためのアクセスを要求する偽のプライバシー ポリシー拡張機能

拡張機能は、攻撃者が初期アクセスを取得する方法としてますます人気が高まっています。

これは、ほとんどの組織が従業員が使用しているブラウザ拡張機能に関する権限を限定しているためです。最も厳格なセキュリティ チームであっても、拡張機能がホワイトリストに登録されると、その後の更新を監視することは通常ありません。

SquareXは広範囲にわたる研究を実施し、デフコン32、 MV3 準拠の拡張機能を使用して、ビデオ ストリーム フィードを盗んだり、サイレント GitHub コラボレーターを追加したり、セッション クッキーを盗んだりする方法などについて説明します。

攻撃者は、一見無害な拡張機能を作成し、インストール後にそれを悪意のある拡張機能に変換したり、上記の攻撃で示されているように、信頼できる拡張機能の開発者を欺いて、すでに何十万人ものユーザーがいる拡張機能にアクセスしたりする可能性があります。

Cyberhaven の場合、攻撃者は拡張機能の悪意のあるバージョンを通じて、複数の Web サイトや Web アプリから会社の認証情報を盗むことができました。

開発者のメールアドレスは Chrome ストアに公開されているため、攻撃者が一度に何千人もの拡張機能開発者をターゲットにすることは簡単です。

これらのメールは通常、バグ報告に使用されます。そのため、大企業の拡張機能用に記載されているサポート メールであっても、通常は、このような攻撃の疑いを見つけるのに必要なレベルのセキュリティ意識を持たない開発者にルーティングされます。

SquareX の攻撃開示と 2 週間以内に発生した Cyberhaven の侵害により、同社は他の多くのブラウザ拡張機能プロバイダーも同様の方法で攻撃を受けていると確信する強い根拠を持っています。SquareX は、企業と個人の両方に対し、ブラウザ拡張機能をインストールまたは更新する前に、慎重に検査を行うよう強く勧めています。

図3. 拡張機能開発者の連絡先はChromeストアで公開されている

SquareX チームは、特にゼロデイ攻撃に関しては、競合するセキュリティの優先事項の中で、職場のすべてのブラウザ拡張機能を評価および監視することが簡単ではないことを理解しています。

で実証されているようにビデオサイバーヘイブンの侵害に関係した偽のプライバシー ポリシー アプリは、一般的な脅威フィードでも検出されませんでした。

SquareXのブラウザ検出および対応（BDR）ソリューションセキュリティ チームの複雑さを次のように軽減します。

• 従業員が誤って攻撃者に Chrome ストア アカウントへの不正アクセスを許可してしまうのを防ぐために、許可されていないウェブサイトへの OAuth 通信をブロックします。
• 新たな危険な権限を含む疑わしい拡張機能の更新をブロックおよび/またはフラグ付けする
• 否定的なレビューが急増している疑わしい拡張機能をブロックまたはフラグ付けする
• サイドロードされた拡張機能のインストールをブロックおよび/またはフラグ付けする
• 承認リスト外のすべての拡張機能インストール要求を合理化し、会社のポリシーに基づいて迅速に承認します。
• 組織全体の従業員がインストールして使用するすべての拡張機能を完全に可視化

SquareXの創設者ヴィヴェック・ラマチャンドラン警告: 「従業員が仕事の生産性を高めるためにブラウザベースのツールにますます依存するようになるにつれ、この OAuth 攻撃に似たブラウザ拡張機能を狙った ID 攻撃はますます蔓延するでしょう。過去には、Google Drive や One Drive などのアプリからクラウド データを盗むために、こうした攻撃の類似の亜種が使用されており、攻撃者はブラウザ拡張機能を悪用する創造性をますます高めていくでしょう。企業は警戒を怠らず、適切なブラウザ ネイティブ ツールを従業員に提供することで、従業員の生産性を低下させることなくサプライ チェーンのリスクを最小限に抑える必要があります。」

SquareXについて:

スクエアエックス組織がユーザーに対して発生しているクライアント側の Web 攻撃をリアルタイムで検出し、軽減し、脅威を追跡するのに役立ちます。

SquareX の業界初のブラウザ検出および対応 (BDR) ソリューションは、ブラウザ セキュリティに対して攻撃に重点を置いたアプローチを採用し、悪意のある QR コード、ブラウザ内フィッシング、マクロベースのマルウェア、悪意のあるファイル、Web サイト、スクリプト、侵害されたネットワークを含むその他の Web 攻撃などの高度な脅威から企業ユーザーを保護します。

SquareX を使用すると、企業は請負業者やリモート ワーカーに社内アプリケーションやエンタープライズ SaaS への安全なアクセスを提供し、BYOD / 管理されていないデバイス上のブラウザーを信頼できるブラウジング セッションに変換できます。

接触

広報部長

ジュニス・リュー

スクエアエックス

ジュニス@sqrx.com