Badacze SquareX ujawniają atak OAuth na rozszerzenia Chrome na kilka dni przed poważnym naruszeniem

PALO ALTO, Kalifornia, USA, 30 grudnia 2024 r./CyberNewsWire/--SquareX, pierwsze w branży rozwiązanie do wykrywania i reagowania na incydenty przeglądarki (BDR), jest liderem w dziedzinie bezpieczeństwa przeglądarek.

Około tydzień temu SquareX zgłoszono zakrojone na szeroką skalę ataki na twórców rozszerzeń Chrome, mające na celu przejęcie rozszerzeń Chrome ze sklepu Chrome Store.

25 grudnia 2024 r. w sklepie Chrome Store opublikowano złośliwą wersję rozszerzenia przeglądarki Cyberhaven, która umożliwiła atakującemu przejęcie uwierzytelnionych sesji i wykradanie poufnych informacji.

Ten złośliwe rozszerzenie było dostępne do pobrania przez ponad 30 godzin, zanim zostało usunięte przez Cyberhaven. Firma zajmująca się zapobieganiem utracie danych odmówiła komentarza na temat rozmiaru wpływu, gdy zwróciła się do niej prasa, ale rozszerzenie miało ponad 400 000 użytkowników na Sklep Chrome w momencie ataku.

Niestety atak nastąpił, gdy badacze SquareX zidentyfikowany podobny atak z wideo pokazując całą ścieżkę ataku zaledwie tydzień przed naruszeniem bezpieczeństwa Cyberhaven.

Atak rozpoczyna się od wiadomości e-mail typu phishing, podszywającej się pod Chrome Store. Wiadomość zawiera rzekome naruszenie „Umowy programistycznej” platformy i wzywa odbiorcę do zaakceptowania zasad, aby zapobiec usunięciu rozszerzenia ze sklepu Chrome Store.

Po kliknięciu przycisku zasad użytkownik zostanie poproszony o połączenie swojego konta Google z „rozszerzeniem polityki prywatności”, które przyzna atakującemu dostęp do edycji, aktualizacji i publikowania rozszerzeń na koncie programisty.

Rys. 1. E-mail phishingowy skierowany do twórców rozszerzeń

Rys. 2. Fałszywe rozszerzenie Polityki prywatności żądające dostępu do „edycji, aktualizacji lub publikacji” rozszerzenia dewelopera

Rozszerzenia stają się coraz popularniejszym sposobem uzyskiwania dostępu przez atakujących.

Dzieje się tak, ponieważ większość organizacji ma ograniczony zakres rozszerzeń przeglądarek, z których korzystają ich pracownicy. Nawet najbardziej rygorystyczne zespoły ds. bezpieczeństwa zazwyczaj nie monitorują kolejnych aktualizacji po umieszczeniu rozszerzenia na białej liście.

Firma SquareX przeprowadziła szeroko zakrojone badania i wykazała, DEFCON 32, w jaki sposób rozszerzenia zgodne ze standardem MV3 mogą być wykorzystane do kradzieży strumieni wideo, dodania cichego współpracownika w serwisie GitHub i kradzieży plików cookie sesji oraz innych celów.

Atakujący mogą stworzyć pozornie niegroźne rozszerzenie, a następnie po instalacji zamienić je w złośliwe lub, jak pokazano w powyższym ataku, oszukać twórców zaufanego rozszerzenia, aby uzyskać dostęp do rozszerzenia, które ma już setki tysięcy użytkowników.

W przypadku Cyberhaven atakujący byli w stanie ukraść dane uwierzytelniające firmy z wielu stron internetowych i aplikacji internetowych za pośrednictwem złośliwej wersji rozszerzenia.

Biorąc pod uwagę, że adresy e-mail programistów są publicznie dostępne w sklepie Chrome Store, atakującym łatwo jest zaatakować tysiące twórców rozszerzeń jednocześnie.

Te e-maile są zazwyczaj używane do zgłaszania błędów. Tak więc nawet e-maile pomocy technicznej wymienione dla rozszerzeń od większych firm są zazwyczaj kierowane do deweloperów, którzy mogą nie mieć poziomu świadomości bezpieczeństwa wymaganego do znalezienia podejrzenia w takim ataku.

Zgodnie z ujawnieniem ataku SquareX i naruszeniem Cyberhaven, które miało miejsce w ciągu niecałych dwóch tygodni, firma ma mocne powody, by sądzić, że wielu innych dostawców rozszerzeń przeglądarek jest atakowanych w ten sam sposób. SquareX wzywa firmy i osoby prywatne do przeprowadzenia dokładnej inspekcji przed zainstalowaniem lub zaktualizowaniem jakichkolwiek rozszerzeń przeglądarek.

Rys. 3. Dane kontaktowe twórców rozszerzeń są publicznie dostępne w sklepie Chrome Store

Zespół SquareX rozumie, że ocena i monitorowanie każdego rozszerzenia przeglądarki w firmie może okazać się niełatwym zadaniem, biorąc pod uwagę wszystkie konkurujące ze sobą priorytety bezpieczeństwa, zwłaszcza jeśli chodzi o ataki typu zero-day.

Jak wykazano w wideo Aplikacja fałszywa dotycząca polityki prywatności, która miała związek z naruszeniem bezpieczeństwa Cyberhaven, nie została nawet wykryta przez żadne z popularnych źródeł zagrożeń.

Rozwiązanie firmy SquareX do wykrywania i reagowania na przeglądarki (BDR) zmniejsza złożoność pracy zespołów ds. bezpieczeństwa poprzez:

• Blokowanie interakcji OAuth z nieautoryzowanymi witrynami w celu uniemożliwienia pracownikom przypadkowego udzielenia atakującym nieautoryzowanego dostępu do Twojego konta w sklepie Chrome Store
• Blokowanie i/lub oznaczanie wszelkich podejrzanych aktualizacji rozszerzeń zawierających nowe, ryzykowne uprawnienia
• Blokowanie i/lub oznaczanie podejrzanych rozszerzeń w przypadku wzrostu liczby negatywnych opinii
• Blokowanie i/lub oznaczanie instalacji rozszerzeń wgrywanych z boku
• Usprawnij wszystkie wnioski o instalacje rozszerzeń spoza autoryzowanej listy, aby uzyskać szybką akceptację zgodnie z polityką firmy
• Pełna widoczność wszystkich rozszerzeń zainstalowanych i używanych przez pracowników w całej organizacji

Założyciel SquareX Vivek Ramachandran ostrzega: „Ataki na tożsamość, których celem są rozszerzenia przeglądarek podobne do tego ataku OAuth, staną się jeszcze bardziej powszechne, ponieważ pracownicy polegają na większej liczbie narzędzi opartych na przeglądarce, aby być produktywnymi w pracy. Podobne warianty tych ataków były w przeszłości wykorzystywane do kradzieży danych w chmurze z aplikacji takich jak Google Drive i One Drive, a my zobaczymy, jak atakujący stają się bardziej kreatywni w wykorzystywaniu rozszerzeń przeglądarek. Firmy muszą zachować czujność i zminimalizować ryzyko związane z łańcuchem dostaw, nie ograniczając produktywności pracowników, wyposażając ich w odpowiednie natywne narzędzia przeglądarek”.

O firmie SquareX:

kwadratX pomaga organizacjom wykrywać, łagodzić i śledzić zagrożenia, jakie niesie ze sobą atak na użytkowników sieci WWW po stronie klienta, w czasie rzeczywistym.

Pierwsze w branży rozwiązanie firmy SquareX do wykrywania i reagowania na przeglądarki (BDR) opiera się na podejściu skoncentrowanym na atakach, zapewniając użytkownikom korporacyjnym ochronę przed zaawansowanymi zagrożeniami, takimi jak złośliwe kody QR, phishing typu Browser-in-the-Browser, złośliwe oprogramowanie oparte na makrach i inne ataki sieciowe obejmujące złośliwe pliki, witryny, skrypty i naruszone sieci.

Dzięki SquareX przedsiębiorstwa mogą zapewnić kontrahentom i pracownikom zdalnym bezpieczny dostęp do aplikacji wewnętrznych i korporacyjnego oprogramowania SaaS, a także przekształcić przeglądarki na urządzeniach BYOD/niezarządzanych w zaufane sesje przeglądania.

Kontakt

Szef PR

Junice Liew

kwadratX

[email protected]