PALO ALTO, USA, जनवरी 30th, 2025/CyberNewsWire/-SquareX ले एउटा नयाँ आक्रमण प्रविधि खुलासा गर्दछ जसले ब्राउजर र अन्ततः सम्पूर्ण यन्त्रलाई पूर्ण रूपमा अपहरण गर्न कसरी खराब विस्तारहरू प्रयोग गर्न सकिन्छ भनेर देखाउँछ। क्रोम एक्सटेन्सन विकासकर्ताहरूमा OAuth आक्रमणहरू र डाटा एक्स्फिल्ट्रेसन आक्रमणहरूको लहरको कारण हालसालै इन्टरप्राइज सुरक्षा समाचारहरूमा ब्राउजर विस्तारहरू स्पटलाइटमा छन्। यद्यपि, अहिले सम्म, ब्राउजर बिक्रेताहरूले विस्तार उपप्रणाली र विस्तारहरूमा राख्ने सीमितताहरूको कारणले गर्दा, एक्स्टेन्सनहरूलाई ब्राउजरको पूर्ण नियन्त्रण प्राप्त गर्न असम्भव मानिन्छ, धेरै कम यन्त्र। अन्वेषकहरू दक्षिता बाबु, अर्पित गुप्ता, सुनकुगरी तेजेश्वर रेड्डी र पंकज शर्माले कसरी आक्रमणकारीहरूले पूर्ण ब्राउजर र उपकरण टेकओभर गर्नका लागि विशेषाधिकारहरू बढाउन दुर्भावनापूर्ण विस्तारहरू प्रयोग गर्न सक्छन्, सबै न्यूनतम प्रयोगकर्ता अन्तरक्रियाका साथ प्रदर्शन गरेर यो विश्वासलाई खारेज गरे। SquareX आलोचनात्मक रूपमा, दुर्भावनापूर्ण एक्स्टेन्सनले Chrome स्टोरमा प्रायजसो ब्राउजर विस्तारहरूमा उपस्थित पढ्न/लेख्ने क्षमताहरू मात्र चाहिन्छ, सामान्य उत्पादकता उपकरणहरू जस्तै व्याकरण, क्यालेन्डली र लूम, प्रयोगकर्ताहरूलाई यी अनुमतिहरू प्रदान गर्नबाट असुविधाजनक बनाउँदै। यो खुलासाले सुझाव दिन्छ कि कुनै पनि ब्राउजर एक्सटेन्सनले सम्भावित रूपमा आक्रमण भेक्टरको रूपमा काम गर्न सक्छ यदि आक्रमणकारीले सिर्जना गरेको वा कब्जा गरेको खण्डमा। हाम्रो बुझाइको राम्रोसँग, यी क्षमताहरू अनुरोध गर्ने क्रोम स्टोरमा पेश गरिएका विस्तारहरू यस लेखनको समयमा अतिरिक्त सुरक्षा जाँचको माध्यमबाट राखिएका छैनन्। ब्राउजर सिङ्कज्याकिङ आक्रमणलाई तीन भागमा विभाजन गर्न सकिन्छ: कसरी विस्तारले आक्रमणकारीद्वारा व्यवस्थित प्रोफाइललाई चुपचाप थप्छ, ब्राउजरलाई हाइज्याक गर्छ र अन्ततः यन्त्रको पूर्ण नियन्त्रण प्राप्त गर्छ। प्रोफाइल अपहरण आक्रमण कुनै पनि ब्राउजर विस्तार स्थापना गर्ने कर्मचारीबाट सुरु हुन्छ - यसमा एआई उपकरणको रूपमा मास्करेड गर्ने वा अवस्थित लोकप्रिय विस्तारहरू लिने समावेश हुन सक्छ जसमा लाखौं सम्म स्थापनाहरू हुन सक्छन्। त्यसपछि एक्सटेन्सनले आक्रमणकारीको Google Workspace द्वारा व्यवस्थित गरिएको Chrome प्रोफाइलमा पीडितलाई "चुपचाप" प्रमाणीकरण गर्छ। यो सबै पृष्ठभूमि सञ्झ्यालमा स्वचालित रूपमा गरिन्छ, जसले सम्पूर्ण प्रक्रियालाई पीडितलाई लगभग अगोचर बनाउँछ। एक पटक यो प्रमाणीकरण हुन्छ, आक्रमणकारीले पीडितको ब्राउजरमा नयाँ व्यवस्थित प्रोफाइलमा पूर्ण नियन्त्रण राख्छ, जसले तिनीहरूलाई सुरक्षित ब्राउजिङ र अन्य सुरक्षा सुविधाहरू असक्षम गर्ने जस्ता स्वचालित नीतिहरू पुश गर्न अनुमति दिन्छ। एक धेरै चतुर सामाजिक ईन्जिनियरिङ् आक्रमण प्रयोग गरेर जसले विश्वसनीय डोमेनहरू शोषण गर्दछ, विरोधीले त्यसपछि पीडितको ब्राउजरबाट पासवर्डहरू चोरी गर्न प्रोफाइल अपहरण आक्रमणलाई अझ बढाउन सक्छ। उदाहरणका लागि, दुर्भावनापूर्ण विस्तारले प्रयोगकर्ता खाताहरू कसरी सिंक गर्ने भनेर गुगलको आधिकारिक समर्थन पृष्ठ खोल्न र परिमार्जन गर्न सक्छ पीडितलाई केही क्लिकहरूमा सिंक गर्न प्रम्प्ट गर्न। एक पटक प्रोफाइल सिंक भएपछि, आक्रमणकारीहरूसँग स्थानीय रूपमा भण्डारण गरिएका सबै प्रमाणहरू र ब्राउजिङ इतिहासहरूमा पूर्ण पहुँच हुन्छ। यस आक्रमणले वैध साइटहरूलाई मात्र फाइदा पुर्याउँछ र यसलाई एक्स्टेन्सनद्वारा परिमार्जन गरिएको छ भन्ने कुनै देखिने संकेत छैन, यसले नेटवर्क ट्राफिकको निगरानी गर्ने कुनै पनि सुरक्षा समाधानहरूमा कुनै पनि अलार्म घण्टीहरू ट्रिगर गर्दैन। ब्राउजर टेकओभर पूर्ण ब्राउजर टेकओभर प्राप्त गर्न, आक्रमणकारीले अनिवार्य रूपमा पीडितको क्रोम ब्राउजरलाई व्यवस्थित ब्राउजरमा रूपान्तरण गर्न आवश्यक छ। उही एक्स्टेन्सनले जूम अपडेट जस्ता वैध डाउनलोडलाई निगरानी र अवरोध गर्दछ, र यसलाई आक्रमणकर्ताको कार्यान्वयनयोग्यसँग प्रतिस्थापन गर्दछ, जसले पीडितको क्रोम ब्राउजरलाई व्यवस्थित ब्राउजरमा परिणत गर्न नामांकन टोकन र रजिस्ट्री प्रविष्टि समावेश गर्दछ। आफूले Zoom अपडेटर डाउनलोड गरेको सोचेर, पीडितले फाइल कार्यान्वयन गर्छ, जसले ब्राउजरलाई आक्रमणकारीको Google Workspace द्वारा व्यवस्थित हुन निर्देशन दिने रजिस्ट्री प्रविष्टि स्थापना गर्छ। यसले आक्रमणकारीलाई पीडितको ब्राउजरमा सुरक्षा सुविधाहरू असक्षम गर्न, थप मालिसियस एक्स्टेन्सनहरू स्थापना गर्न, डेटा निकाल्न र चुपचाप प्रयोगकर्ताहरूलाई फिसिङ साइटहरूमा रिडिरेक्ट गर्नको लागि पूर्ण नियन्त्रण प्राप्त गर्न अनुमति दिन्छ। यो आक्रमण अत्यन्त शक्तिशाली छ किनकि त्यहाँ व्यवस्थित र अप्रबन्धित ब्राउजर बीच कुनै दृश्य भिन्नता छैन। नियमित प्रयोगकर्ताका लागि, पीडित व्यक्ति उच्च सुरक्षा सजग नभएसम्म र आफ्नो ब्राउजर सेटिङहरू नियमित रूपमा निरीक्षण गर्न र अपरिचित Google Workspace खातासँग सम्बद्धताहरू खोज्ने बाटोबाट बाहिर नजाँदासम्म विशेषाधिकार वृद्धि भएको कुनै संकेत छैन। उपकरण अपहरण माथिको समान डाउनलोड गरिएको फाइलको साथ, आक्रमणकर्ताले नेटिभ एपहरूलाई सन्देश पठाउनको लागि खराब विस्तारको लागि आवश्यक दर्ता प्रविष्टिहरू थप्न सक्छ। यसले विस्तारलाई थप प्रमाणीकरण बिना स्थानीय एपहरूसँग प्रत्यक्ष अन्तरक्रिया गर्न अनुमति दिन्छ। एक पटक जडान स्थापित भएपछि, आक्रमणकारीहरूले स्थानीय शेल र अन्य उपलब्ध नेटिभ अनुप्रयोगहरूसँग संयोजनमा विस्तार प्रयोग गर्न सक्छन् गोप्य रूपमा उपकरण क्यामेरा खोल्न, अडियो खिच्न, स्क्रिन रेकर्ड गर्न र खराब सफ्टवेयर स्थापना गर्न - अनिवार्य रूपमा सबै अनुप्रयोगहरू र गोप्य डेटामा पूर्ण पहुँच प्रदान गर्न। उपकरणमा। ब्राउजर सिंकज्याकिङ आक्रमणले रिमोट-व्यवस्थित प्रोफाइल र ब्राउजरहरू व्यवस्थित गर्ने तरिकामा आधारभूत त्रुटिलाई उजागर गर्दछ। आज, जो कोहीले पनि नयाँ डोमेन र ब्राउजर एक्सटेन्सनसँग कुनै पनि पहिचान प्रमाणिकरण बिना नै व्यवस्थित कार्यस्थान खाता सिर्जना गर्न सक्छ, यी आक्रमणहरूलाई श्रेय दिन असम्भव बनाउँदै। दुर्भाग्यवश, धेरै उद्यमहरूसँग हाल ब्राउजरमा शून्य दृश्यता छ - धेरैजसोसँग व्यवस्थित ब्राउजर वा प्रोफाइलहरू छैनन्, न त कर्मचारीहरूले प्रायः प्रचलन उपकरणहरू र सामाजिक मिडिया सिफारिसहरूमा आधारित स्थापना गरिरहेका विस्तारहरूमा कुनै दृश्यता छैन। कुन कुराले यस आक्रमणलाई विशेष रूपमा खतरनाक बनाउँछ कि यसले न्यूनतम अनुमतिहरू र लगभग कुनै प्रयोगकर्ता अन्तरक्रियाको साथ सञ्चालन गर्दछ, विश्वसनीय वेबसाइटहरू प्रयोग गरेर केवल एक सूक्ष्म सामाजिक ईन्जिनियरिङ् चरण चाहिन्छ - कर्मचारीहरूलाई पत्ता लगाउन लगभग असम्भव बनाउँदै। जबकि हालैका घटनाहरू जस्तै साइबरहेभन उल्लङ्घनले सयौंलाई सम्झौता गरिसकेको छ, यदि हजारौं संगठनहरू होइन, ती आक्रमणहरूले सञ्चालन गर्न अपेक्षाकृत जटिल सामाजिक ईन्जिनियरिङ् आवश्यक पर्दछ। यस आक्रमणको विनाशकारी सूक्ष्म प्रकृति - प्रयोगकर्ताको अन्तरक्रियाको अत्यन्त न्यून थ्रेसहोल्डको साथ - यो आक्रमणलाई अत्यन्त शक्तिशाली बनाउँदैन, तर विरोधीहरूले पहिले नै उद्यमहरू सम्झौता गर्न यो प्रविधि प्रयोग गरिरहेको डरलाग्दो सम्भावनामा पनि प्रकाश पार्छ। जबसम्म संगठनले व्यवस्थित ब्राउजरहरू मार्फत ब्राउजर विस्तारहरू पूर्ण रूपमा ब्लक गर्ने छनौट गर्दैन, ब्राउजर सिंकज्याकिङ आक्रमणले अवस्थित कालोसूचीहरू र अनुमतिहरूमा आधारित नीतिहरूलाई पूर्ण रूपमा बाइपास गर्नेछ। SquareX को संस्थापक भन्छन्, "यस अनुसन्धानले उद्यम सुरक्षामा गम्भीर अन्धो स्थानलाई उजागर गर्दछ। परम्परागत सुरक्षा उपकरणहरूले यी परिष्कृत ब्राउजर-आधारित आक्रमणहरू देख्न वा रोक्न सक्दैनन्। यस आविष्कारलाई विशेष रूपमा डरलाग्दो बनाउने कुरा के हो भने यसले EDRs र SASE/SSE सुरक्षित वेब गेटवेजस्ता परम्परागत सुरक्षा उपायहरूको राडार मुनि उडान गर्दा पूर्ण यन्त्र टेकओभर उपकरणहरूमा निर्दोष देखिने ब्राउजर विस्तारहरूलाई कसरी हतियार बनाउँछ। ब्राउजर पत्ता लगाउने प्रतिक्रिया समाधान अब एक विकल्प मात्र होइन - यो एक आवश्यकता हो। ब्राउजर स्तरमा दृश्यता र नियन्त्रण बिना, संगठनहरूले अनिवार्य रूपमा आफ्नो अगाडिको ढोका आक्रमणकारीहरूको लागि खुला छोडिरहेका छन्। यो आक्रमण प्रविधिले देखाउँछ कि किन सुरक्षा खतराहरू वास्तवमा भइरहेका ठाउँहरूमा 'सिफ्ट अप' गर्नुपर्छ: ब्राउजरमा नै। विवेक रामचन्द्रन SquareX ले ब्राउजर विस्तारहरूमा DEF CON 32 टक सहित अग्रगामी सुरक्षा अनुसन्धान गरिरहेको छ। जसले धेरै MV3 अनुरूप दुर्भावनापूर्ण विस्तारहरू प्रकट गर्यो। Sneaky Extensions: The MV3 Escape Artists यो अनुसन्धान टोलीले पत्ता लगाउने र खुलासा गर्ने पनि पहिलो थियो एक हप्ता अघि । SquareX को खोज को लागी पनि जिम्मेवार थियो आक्रमणहरू, क्लाइन्ट-साइड आक्रमणहरूको नयाँ वर्ग जसले वास्तुगत त्रुटिहरूको शोषण गर्दछ र सबै सुरक्षित वेब गेटवे समाधानहरूलाई पूर्ण रूपमा बाइपास गर्दछ। Chrome विस्तार विकासकर्ताहरूमा OAuth आक्रमण साइबरहेवन उल्लंघन अन्तिम माइल पुन: संयोजन यस अनुसन्धानको आधारमा, SquareX को उद्योग-पहिलो ब्राउजर पत्ता लगाउने र प्रतिक्रिया समाधानले रनटाइममा सबै ब्राउजर एक्सटेन्सन गतिविधिहरूमा गतिशील विश्लेषण सञ्चालन गरेर उपकरण अपहरण प्रयासहरू सहित उन्नत विस्तार-आधारित आक्रमणहरू विरुद्ध उद्यमहरूलाई सुरक्षा दिन्छ, उद्यम र सबै सक्रिय विस्तारहरूलाई जोखिम स्कोर प्रदान गर्दछ। थप कुनै पनि आक्रमणहरू पहिचान गर्दै जुन तिनीहरू कमजोर हुन सक्छन्। ब्राउजर सिंकज्याकिंग आक्रमणको बारेमा थप जानकारीको लागि, यस अनुसन्धानबाट थप निष्कर्षहरू उपलब्ध छन् । sqrx.com/research SquareX को बारेमा संस्थाहरूलाई वास्तविक समयमा तिनीहरूका प्रयोगकर्ताहरू विरुद्ध भइरहेको क्लाइन्ट-साइड वेब आक्रमणहरू पत्ता लगाउन, कम गर्न र खतरा-हन्ट गर्न मद्दत गर्दछ। SquareX SquareX को उद्योग-पहिलो ब्राउजर पत्ता लगाउने र प्रतिक्रिया (BDR) समाधान, ब्राउजर सुरक्षामा आक्रमण-केन्द्रित दृष्टिकोण लिन्छ, उद्यम प्रयोगकर्ताहरूलाई खराब QR कोडहरू, ब्राउजर-इन-द-ब्राउजर फिसिङ, म्याक्रो-आधारित मालवेयर जस्ता उन्नत खतराहरू विरुद्ध सुरक्षित गरिएको सुनिश्चित गर्दै। दुर्भावनापूर्ण फाइलहरू, वेबसाइटहरू, स्क्रिप्टहरू, र सम्झौता गरिएका अन्य वेब आक्रमणहरू नेटवर्कहरू। थप रूपमा, SquareX सँग, उद्यमहरूले ठेकेदारहरू र टाढाका कामदारहरूलाई आन्तरिक अनुप्रयोगहरू, इन्टरप्राइज सासहरूमा सुरक्षित पहुँच प्रदान गर्न सक्छन्, र BYOD / अप्रबन्धित यन्त्रहरूमा ब्राउजरहरूलाई विश्वसनीय ब्राउजिङ सत्रहरूमा रूपान्तरण गर्न सक्छन्। सम्पर्क गर्नुहोस् पीआर प्रमुख जुनिस लिउ SquareX junice@sqrx.com यो कथा ह्याकरनूनको बिजनेस ब्लगिङ कार्यक्रम अन्तर्गत साइबरन्युजवायरद्वारा रिलीजको रूपमा वितरण गरिएको थियो। कार्यक्रम बारे थप जान्नुहोस् यहाँ
