PALO ALTO, USA, 30 stycznia 2025 r./CyberNewsWire/--SquareX ujawnia nową technikę ataku, która pokazuje, w jaki sposób złośliwe rozszerzenia mogą zostać wykorzystane do całkowitego przejęcia kontroli nad przeglądarką, a ostatecznie nad całym urządzeniem. Rozszerzenia przeglądarek znalazły się ostatnio w centrum uwagi w wiadomościach dotyczących bezpieczeństwa przedsiębiorstw ze względu na falę ataków OAuth na deweloperów rozszerzeń Chrome i ataków mających na celu eksfiltrację danych. Jednak do tej pory, ze względu na ograniczenia, jakie producenci przeglądarek nakładają na podsystem rozszerzeń i same rozszerzenia, uważano, że przejęcie przez rozszerzenia pełnej kontroli nad przeglądarką, a co dopiero nad urządzeniem, jest niemożliwe. Badacze Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy i Pankaj Sharma obalili to przekonanie, pokazując, jak atakujący mogą wykorzystać złośliwe rozszerzenia do zwiększenia uprawnień, aby przejąć pełną kontrolę nad przeglądarką i urządzeniem, a wszystko to przy minimalnej interakcji użytkownika. kwadratX Co istotne, złośliwe rozszerzenie wymaga jedynie możliwości odczytu/zapisu dostępnych w większości rozszerzeń przeglądarki w Chrome Store, w tym popularnych narzędziach do pracy, takich jak Grammarly, Calendly i Loom, co sprawia, że użytkownicy są mniej skłonni udzielać tych uprawnień. To odkrycie sugeruje, że praktycznie każde rozszerzenie przeglądarki może potencjalnie służyć jako wektor ataku, jeśli zostanie utworzone lub przejęte przez atakującego. Według naszej wiedzy rozszerzenia przesłane do Chrome Store, które żądają tych możliwości, nie są poddawane dodatkowej kontroli bezpieczeństwa w momencie pisania tego tekstu. Atak polegający na synchronizowaniu przeglądarki można podzielić na trzy części: rozszerzenie po cichu dodaje profil zarządzany przez atakującego, przejmuje kontrolę nad przeglądarką i ostatecznie uzyskuje pełną kontrolę nad urządzeniem. Przejęcie profilu Atak rozpoczyna się od zainstalowania przez pracownika rozszerzenia przeglądarki – może to oznaczać opublikowanie rozszerzenia podszywającego się pod narzędzie sztucznej inteligencji lub przejęcie kontroli nad istniejącymi popularnymi rozszerzeniami, których łączna liczba instalacji może wynosić nawet miliony. Następnie rozszerzenie „cicho” uwierzytelnia ofiarę w profilu Chrome zarządzanym przez Google Workspace atakującego. Wszystko to odbywa się w sposób zautomatyzowany w oknie w tle, dzięki czemu cały proces jest niemal niezauważalny dla ofiary. Po uwierzytelnieniu atakujący uzyskuje pełną kontrolę nad nowym profilem w przeglądarce ofiary, co pozwala mu na wdrażanie automatycznych zasad, takich jak wyłączanie bezpiecznego przeglądania i innych funkcji bezpieczeństwa. Wykorzystując bardzo sprytny atak socjotechniczny, który wykorzystuje zaufane domeny, przeciwnik może dalej eskalować atak przechwytywania profilu, aby ukraść hasła z przeglądarki ofiary. Na przykład złośliwe rozszerzenie może otworzyć i zmodyfikować oficjalną stronę pomocy Google na temat synchronizacji kont użytkowników, aby zachęcić ofiarę do wykonania synchronizacji za pomocą zaledwie kilku kliknięć. Po zsynchronizowaniu profilu atakujący mają pełny dostęp do wszystkich poświadczeń i historii przeglądania przechowywanych lokalnie. Ponieważ ten atak wykorzystuje tylko legalne witryny i nie ma widocznych oznak, że został zmodyfikowany przez rozszerzenie, nie wywoła on żadnych sygnałów alarmowych w żadnych rozwiązaniach bezpieczeństwa monitorujących ruch sieciowy. Przejęcie przeglądarki Aby przejąć pełną kontrolę nad przeglądarką, atakujący musi w zasadzie przekształcić przeglądarkę Chrome ofiary w przeglądarkę zarządzaną. To samo rozszerzenie monitoruje i przechwytuje legalne pobieranie, takie jak aktualizacja Zoom, i zastępuje je plikiem wykonywalnym atakującego, który zawiera token rejestracyjny i wpis rejestru, aby zmienić przeglądarkę Chrome ofiary w przeglądarkę zarządzaną. Ofiara sądzi, że pobrała aktualizator Zoom, więc uruchamia plik, który kończy się zainstalowaniem wpisu w rejestrze, który nakazuje przeglądarce, aby była zarządzana przez Google Workspace atakującego. Umożliwia to atakującemu uzyskanie pełnej kontroli nad przeglądarką ofiary, aby wyłączyć funkcje bezpieczeństwa, zainstalować dodatkowe złośliwe rozszerzenia, wykraść dane, a nawet po cichu przekierować użytkowników do witryn phishingowych. Ten atak jest niezwykle skuteczny, ponieważ nie ma wizualnej różnicy między zarządzaną a niezarządzaną przeglądarką. Dla przeciętnego użytkownika nie ma żadnych wyraźnych oznak eskalacji uprawnień, chyba że ofiara jest świadoma kwestii bezpieczeństwa i regularnie sprawdza ustawienia swojej przeglądarki pod kątem powiązań z nieznanym kontem Google Workspace. Przejęcie urządzenia Za pomocą tego samego pobranego pliku powyżej atakujący może dodatkowo wstawić wpisy rejestru wymagane przez złośliwe rozszerzenie do wysyłania wiadomości do natywnych aplikacji. Pozwala to rozszerzeniu na bezpośrednią interakcję z lokalnymi aplikacjami bez dalszego uwierzytelniania. Po nawiązaniu połączenia atakujący mogą wykorzystać rozszerzenie w połączeniu z lokalną powłoką i innymi dostępnymi aplikacjami natywnymi, aby potajemnie włączyć kamerę urządzenia, przechwytywać dźwięk, nagrywać ekran i instalować złośliwe oprogramowanie – uzyskując w ten sposób pełny dostęp do wszystkich aplikacji i poufnych danych na urządzeniu. Atak syncjackingu przeglądarki ujawnia podstawową wadę w sposobie zarządzania zdalnie zarządzanymi profilami i przeglądarkami. Obecnie każdy może utworzyć konto zarządzanego obszaru roboczego powiązane z nową domeną i rozszerzeniem przeglądarki bez żadnej formy weryfikacji tożsamości, co uniemożliwia przypisanie tych ataków. Niestety, większość przedsiębiorstw nie ma obecnie żadnego wglądu w przeglądarkę — większość nie zarządza przeglądarkami ani profilami, ani nie ma wglądu w rozszerzenia, które pracownicy często instalują na podstawie popularnych narzędzi i rekomendacji w mediach społecznościowych. Atak ten jest szczególnie niebezpieczny, ponieważ działa przy minimalnych uprawnieniach i praktycznie bez interakcji ze strony użytkownika. Wymaga jedynie subtelnej inżynierii społecznej z wykorzystaniem zaufanych witryn internetowych, co sprawia, że wykrycie go przez pracowników jest niemal niemożliwe. Podczas gdy ostatnie incydenty, takie jak naruszenie bezpieczeństwa Cyberhaven, już naraziły setki, jeśli nie tysiące organizacji, ataki te wymagały stosunkowo złożonej inżynierii społecznej, aby mogły działać. Niszczycielsko subtelna natura tego ataku - z niezwykle niskim progiem interakcji użytkownika - nie tylko sprawia, że atak ten jest niezwykle potężny, ale także rzuca światło na przerażającą możliwość, że przeciwnicy już dziś wykorzystują tę technikę, aby narażać przedsiębiorstwa. Jeśli organizacja nie zdecyduje się na całkowite zablokowanie rozszerzeń przeglądarki za pośrednictwem zarządzanych przeglądarek, atak polegający na synchronizacji przeglądarki całkowicie ominie istniejące czarne listy i zasady oparte na uprawnieniach. Założyciel SquareX mówi: „Te badania ujawniają krytyczny martwy punkt w zabezpieczeniach przedsiębiorstw. Tradycyjne narzędzia bezpieczeństwa po prostu nie są w stanie dostrzec ani zatrzymać tych wyrafinowanych ataków opartych na przeglądarce. To odkrycie jest szczególnie alarmujące, ponieważ przekształca pozornie niewinne rozszerzenia przeglądarki w narzędzia do całkowitego przejmowania kontroli nad urządzeniem, a wszystko to odbywa się poza radarem konwencjonalnych środków bezpieczeństwa, takich jak EDR i SASE/SSE Secure Web Gateways. Rozwiązanie Browser Detection-Response nie jest już tylko opcją — to konieczność. Bez widoczności i kontroli na poziomie przeglądarki organizacje zasadniczo pozostawiają swoje drzwi frontowe szeroko otwarte dla atakujących. Ta technika ataku pokazuje, dlaczego bezpieczeństwo musi „przesunąć się w górę” tam, gdzie zagrożenia faktycznie występują: w samej przeglądarce”. Vivek Ramachandran Firma SquareX prowadziła pionierskie badania nad bezpieczeństwem rozszerzeń przeglądarek, w tym wykład na konferencji DEF CON 32 co ujawniło wiele złośliwych rozszerzeń zgodnych z MV3. Podstępne rozszerzenia: artyści ucieczki MV3 Ten zespół badawczy był również pierwszym, który odkrył i ujawnił tydzień przed . SquareX był również odpowiedzialny za odkrycie ataki, nowa klasa ataków po stronie klienta, wykorzystująca wady architektoniczne i całkowicie omijająca wszystkie rozwiązania Secure Web Gateway. Atak OAuth na programistów rozszerzeń Chrome Naruszenie cybernetycznego schronienia Ostatnia mila ponownego montażu Na podstawie tych badań opracowano pierwsze w branży rozwiązanie firmy SquareX do wykrywania i reagowania na przeglądarki, które chroni przedsiębiorstwa przed zaawansowanymi atakami opartymi na rozszerzeniach, w tym próbami przejęcia urządzeń. Rozwiązanie to przeprowadza dynamiczną analizę całej aktywności rozszerzeń przeglądarki w czasie rzeczywistym, zapewnia ocenę ryzyka dla wszystkich aktywnych rozszerzeń w przedsiębiorstwie oraz identyfikuje wszelkie ataki, na które mogą być one podatne. Aby uzyskać więcej informacji na temat ataku polegającego na synchronizacji przeglądarki, dodatkowe ustalenia z tego badania są dostępne pod adresem . sqrx.com/badania O firmie SquareX pomaga organizacjom wykrywać, łagodzić i śledzić zagrożenia związane z atakami na użytkowników sieci WWW po stronie klienta w czasie rzeczywistym. kwadratX Pierwsze w branży rozwiązanie firmy SquareX do wykrywania i reagowania na przeglądarki (BDR) opiera się na podejściu skoncentrowanym na atakach, zapewniając użytkownikom korporacyjnym ochronę przed zaawansowanymi zagrożeniami, takimi jak złośliwe kody QR, phishing typu Browser-in-the-Browser, złośliwe oprogramowanie oparte na makrach i inne ataki sieciowe obejmujące złośliwe pliki, witryny, skrypty i naruszone sieci. Ponadto dzięki SquareX przedsiębiorstwa mogą zapewnić kontrahentom i pracownikom zdalnym bezpieczny dostęp do aplikacji wewnętrznych, korporacyjnego oprogramowania SaaS oraz przekształcić przeglądarki na urządzeniach BYOD/niezarządzanych w zaufane sesje przeglądania. Kontakt Szef PR Junice Liew kwadratX junice@sqrx.com Ta historia została rozprowadzona jako wydanie przez Cybernewswire w ramach programu Business Blogging Program firmy HackerNoon. Dowiedz się więcej o programie Tutaj
