새로운 역사

SquareX 연구원, 주요 침해 발생 며칠 전 크롬 확장 프로그램에 대한 OAuth 공격 폭로

~에 의해 CyberNewswire4m2024/12/30

너무 오래; 읽다

Cyberhaven의 브라우저 확장 프로그램의 악성 버전이 Chrome 스토어에 게시되어 공격자가 인증된 세션을 하이재킹하고 기밀 정보를 빼낼 수 있었습니다. 이 확장 프로그램은 Cyberhaven에서 제거하기 전까지 30시간 이상 다운로드할 수 있었습니다.

featured image - SquareX 연구원, 주요 침해 발생 며칠 전 크롬 확장 프로그램에 대한 OAuth 공격 폭로

미국 캘리포니아주 팔로알토, 2024년 12월 30일/CyberNewsWire/--업계 최초의 브라우저 탐지 및 대응(BDR) 솔루션인 SquareX가 브라우저 보안 분야를 선도하고 있습니다.

약 일주일 전, SquareX 보고됨 Chrome 스토어에서 Chrome 확장 프로그램을 인수하려는 목적으로 Chrome 확장 프로그램 개발자를 대상으로 하는 대규모 공격이 발생했습니다.

2024년 12월 25일, Cyberhaven 브라우저 확장 프로그램의 악성 버전이 Chrome 스토어에 게시되었으며, 공격자는 이를 통해 인증된 세션을 하이재킹하고 기밀 정보를 빼낼 수 있었습니다.

그만큼 악성 확장 프로그램 Cyberhaven에서 제거하기 전까지 30시간 이상 다운로드가 가능했습니다. 데이터 손실 방지 회사는 언론에서 접근했을 때 영향의 정도에 대해 언급하기를 거부했지만, 이 확장 프로그램은 400,000명이 넘는 사용자를 보유하고 있었습니다. 크롬 스토어 공격 당시.

불행히도, 이 공격은 SquareX의 연구원들이 식별됨 유사한 공격 동영상 사이버헤이븐 침해 사고가 발생하기 불과 일주일 전에 전체 공격 경로를 보여주었습니다.

공격은 Chrome 스토어를 가장한 피싱 이메일로 시작되는데, 여기에는 플랫폼의 "개발자 계약"을 위반한다는 내용이 포함되어 있으며, 수신자에게 Chrome 스토어에서 확장 프로그램이 제거되는 것을 방지하기 위해 정책을 수락하도록 촉구합니다.

정책 버튼을 클릭하면 사용자에게 Google 계정을 "개인정보 보호정책 확장 프로그램"에 연결하라는 메시지가 표시됩니다. 이를 통해 공격자는 개발자 계정에서 확장 프로그램을 편집, 업데이트 및 게시할 수 있는 액세스 권한을 얻습니다.

그림 1. 피싱 이메일 타겟팅 확장 개발자

그림 2. 개발자의 확장 프로그램을 "편집, 업데이트 또는 게시"하기 위한 액세스를 요청하는 가짜 개인정보 보호정책 확장 프로그램

확장 기능은 공격자가 초기 접근 권한을 확보하는 데 사용하는 수단으로 점점 더 인기를 얻고 있습니다.

이는 대부분 조직이 직원들이 사용하는 브라우저 확장 프로그램에 대한 권한이 제한되어 있기 때문입니다. 가장 엄격한 보안 팀조차도 확장 프로그램이 허용 목록에 추가되면 후속 업데이트를 모니터링하지 않는 것이 일반적입니다.

SquareX는 광범위한 연구를 수행하고 다음을 시연했습니다. 데프콘 32, MV3 호환 확장 기능을 사용하여 비디오 스트림 피드를 훔치고, 조용한 GitHub 협력자를 추가하고, 세션 쿠키를 훔치는 방법 등에 대해 설명합니다.

공격자는 무해해 보이는 확장 프로그램을 만든 후 설치 후 악성 확장 프로그램으로 바꿀 수도 있고, 위의 공격에서 보여준 것처럼 신뢰할 수 있는 확장 프로그램의 개발자를 속여 이미 수십만 명의 사용자가 있는 확장 프로그램에 액세스할 수도 있습니다.

Cyberhaven의 경우, 공격자는 악성 버전의 확장 프로그램을 통해 여러 웹사이트와 웹 앱에서 회사 자격 증명을 훔칠 수 있었습니다.

개발자 이메일이 Chrome 스토어에 공개적으로 나열되므로 공격자는 한 번에 수천 명의 확장 프로그램 개발자를 공격하기가 쉽습니다.

이러한 이메일은 일반적으로 버그 보고에 사용됩니다. 따라서 대기업의 확장 프로그램에 대해 나열된 지원 이메일조차도 일반적으로 그러한 공격에서 의심을 찾는 데 필요한 수준의 보안 인식이 없는 개발자에게 라우팅됩니다.

SquareX의 공격 공개와 2주도 채 안 되는 기간에 발생한 Cyberhaven 침해에 따르면, 이 회사는 다른 많은 브라우저 확장 프로그램 제공업체가 같은 방식으로 공격을 받고 있다고 믿을 만한 강력한 이유가 있습니다. SquareX는 회사와 개인 모두에게 브라우저 확장 프로그램을 설치하거나 업데이트하기 전에 신중하게 검사할 것을 촉구합니다.

그림 3. 확장 프로그램 개발자의 연락처 정보는 Chrome 스토어에서 공개적으로 제공됩니다.

SquareX 팀은 모든 보안 우선순위가 서로 충돌하는 가운데 직원들의 모든 브라우저 확장 프로그램을 평가하고 모니터링하는 일이 쉽지 않다는 것을 알고 있습니다. 특히 제로데이 공격의 경우 더욱 그렇습니다.

에서 입증된 바와 같이 동영상 Cyberhaven의 침해에 연루된 가짜 개인정보 보호정책 앱은 어떤 인기 있는 위협 피드에서도 감지되지 않았습니다.

SquareX의 브라우저 감지 및 대응(BDR) 솔루션 보안 팀에서 이러한 복잡성을 해소하는 방법은 다음과 같습니다.

직원이 실수로 공격자에게 Chrome 스토어 계정에 대한 무단 액세스를 제공하지 못하도록 무단 웹사이트에 대한 OAuth 상호 작용을 차단합니다.
새로운 위험한 권한이 포함된 의심스러운 확장 프로그램 업데이트를 차단 및/또는 플래그 지정
부정적인 리뷰가 급증하는 의심스러운 확장 프로그램을 차단 및/또는 플래그 지정
사이드로딩된 확장 프로그램 설치 차단 및/또는 플래그 지정
회사 정책에 따라 승인된 목록 외부의 확장 설치에 대한 모든 요청을 간소화하여 신속한 승인을 받습니다.
조직 전반의 직원이 설치하고 사용하는 모든 확장 프로그램에 대한 전체 가시성

SquareX의 창립자 비벡 라마찬드란 경고: "이 OAuth 공격과 유사한 브라우저 확장 프로그램을 타겟으로 하는 신원 공격은 직원들이 직장에서 생산성을 높이기 위해 브라우저 기반 도구에 더 많이 의존함에 따라 더욱 만연해질 것입니다. 이러한 공격의 유사한 변형은 과거에도 Google Drive 및 One Drive와 같은 앱에서 클라우드 데이터를 훔치는 데 사용되었으며 공격자가 브라우저 확장 프로그램을 악용하는 데 더욱 창의적이 될 것입니다. 회사는 경계를 유지하고 올바른 브라우저 기본 도구를 제공하여 직원 생산성을 방해하지 않으면서 공급망 위험을 최소화해야 합니다."

SquareX 소개:

스퀘어엑스 조직이 사용자를 대상으로 발생하는 클라이언트 측 웹 공격을 실시간으로 탐지, 완화하고 위협을 사냥하는 데 도움이 됩니다.

SquareX의 업계 최초의 브라우저 탐지 및 대응(BDR) 솔루션은 브라우저 보안에 대한 공격 중심적 접근 방식을 취하여 기업 사용자가 악성 QR 코드, 브라우저 내 브라우저 피싱, 매크로 기반 맬웨어 및 악성 파일, 웹사이트, 스크립트, 손상된 네트워크를 포함한 기타 웹 공격과 같은 고급 위협으로부터 보호되도록 보장합니다.

SquareX를 사용하면 기업은 계약자 및 원격 근무자에게 내부 애플리케이션 및 기업용 SaaS에 대한 안전한 액세스를 제공하고, BYOD/관리되지 않는 장치의 브라우저를 신뢰할 수 있는 브라우징 세션으로 전환할 수 있습니다.