Search icon
ReadWrite
see notifications
Notifications
see more
paint-brush
SquareX-forskare avslöjar OAuth-attack på Chrome-tillägg dagar innan större intrångförbi@cybernewswire
Ny historia

SquareX-forskare avslöjar OAuth-attack på Chrome-tillägg dagar innan större intrång

förbi CyberNewswire4m2024/12/30
Read on Terminal Reader
tldt arrow
en-flagENko-flagKOes-flagESja-flagJAlo-flagLOhr-flagHRpl-flagPLsv-flagSVkk-flagKKky-flagKYbe-flagBExh-flagXHiw-flagIW
SV

För länge; Att läsa

En skadlig version av Cyberhavens webbläsartillägg publicerades på Chrome Store som gjorde det möjligt för angriparen att kapa autentiserade sessioner och exfiltrera konfidentiell information. Tillägget var tillgängligt för nedladdning i mer än 30 timmar innan det togs bort av Cyberhaven.
featured image - SquareX-forskare avslöjar OAuth-attack på Chrome-tillägg dagar innan större intrång
CyberNewswire HackerNoon profile picture
0-item

PALO ALTO, Kalifornien, USA, 30 december 2024/CyberNewsWire/--SquareX, en branschförst lösning för webbläsardetektion och -svar (BDR), leder vägen inom webbläsarsäkerhet.


För ungefär en vecka sedan, SquareX rapporterad storskaliga attacker riktade mot utvecklare av Chrome Extension i syfte att ta över Chrome Extension från Chrome Store.


Den 25 december 2024 publicerades en skadlig version av Cyberhavens webbläsartillägg i Chrome Store som gjorde det möjligt för angriparen att kapa autentiserade sessioner och exfiltrera konfidentiell information.


De skadlig förlängning var tillgänglig för nedladdning i mer än 30 timmar innan den togs bort av Cyberhaven. Företaget för förebyggande av dataförlust avböjde att kommentera omfattningen av påverkan när pressen kontaktade sig, men förlängningen hade över 400 000 användare på Chrome Store vid tidpunkten för attacken.


Tyvärr skedde attacken som SquareX:s forskare hade gjort identifieras en liknande attack med en video demonstrerar hela attackvägen bara en vecka före Cyberhaven-intrånget.


Attacken börjar med ett nätfiske-e-postmeddelande som utger sig för att vara Chrome Store som innehåller ett förmodat brott mot plattformens "Developer Agreement", som uppmanar mottagaren att acceptera policyerna för att förhindra att deras tillägg tas bort från Chrome Store.


När användaren klickar på policyknappen uppmanas användaren att ansluta sitt Google-konto till ett "Privacy Policy Extension", som ger angriparen åtkomst att redigera, uppdatera och publicera tillägg på utvecklarens konto.

Fig 1. Nätfiske-e-postinriktning mot utvecklare av tillägg

Fig 2. Falskt tillägg för sekretesspolicy som begär åtkomst att "redigera, uppdatera eller publicera" utvecklarens tillägg

Tillägg har blivit ett allt populärare sätt för angripare att få första åtkomst.


Detta beror på att de flesta organisationer har begränsad insyn i vilka webbläsartillägg deras anställda använder. Även de mest rigorösa säkerhetsteamen övervakar vanligtvis inte efterföljande uppdateringar när ett tillägg är vitlistat.


SquareX har genomfört omfattande forskning och visat på DEFCON 32, hur MV3-kompatibla tillägg kan användas för att stjäla videoströmmar, lägga till en tyst GitHub-samarbetspartner och stjäla sessionscookies, bland annat.


Angripare kan skapa ett till synes ofarligt tillägg och senare omvandla det till ett skadligt tillägg efter installationen eller, som visas i attacken ovan, lura utvecklarna bakom ett pålitligt tillägg för att få tillgång till ett som redan har hundratusentals användare.


I Cyberhavens fall kunde angripare stjäla företagsuppgifter på flera webbplatser och webbappar genom den skadliga versionen av tillägget.

Med tanke på att utvecklarens e-postmeddelanden är offentligt listade i Chrome Store är det lätt för angripare att rikta in sig på tusentals tilläggsutvecklare samtidigt.


Dessa e-postmeddelanden används vanligtvis för felrapportering. Således skickas även support-e-postmeddelanden som listas för tillägg från större företag vanligtvis till utvecklare som kanske inte har den säkerhetsmedvetenhet som krävs för att hitta misstankar om en sådan attack.


Enligt SquareX:s attackavslöjande och Cyberhaven-intrånget som inträffade inom loppet av mindre än två veckor, har företaget starka skäl att tro att många andra webbläsartilläggsleverantörer attackeras på samma sätt. SquareX uppmanar både företag och privatpersoner att genomföra en noggrann inspektion innan du installerar eller uppdaterar några webbläsartillägg.

Fig 3. Kontaktuppgifter för tilläggsutvecklare är allmänt tillgängliga i Chrome Store


SquareX-teamet förstår att det kan vara icke-trivialt att utvärdera och övervaka varje enskild webbläsartillägg i arbetsstyrkan bland alla konkurrerande säkerhetsprioriteringar, särskilt när det kommer till nolldagsattacker.


Som visas i video , den falska integritetspolicyappen som var involverad i Cyberhavens intrång upptäcktes inte ens av några populära hotflöden.

SquareX:s Browser Detection and Response (BDR) lösning tar bort denna komplexitet från säkerhetsteam genom att:


  • Blockera OAuth-interaktioner till obehöriga webbplatser för att förhindra att anställda av misstag ger angripare obehörig åtkomst till ditt Chrome Store-konto
  • Blockera och/eller flagga misstänkta tilläggsuppdateringar som innehåller nya, riskfyllda behörigheter
  • Blockera och/eller flagga misstänkta tillägg med en ökning av negativa recensioner
  • Blockering och/eller flaggning av installationer av sidobelastade förlängningar
  • Effektivisera alla förfrågningar om förlängningsinstallationer utanför den auktoriserade listan för snabbt godkännande baserat på företagets policy
  • Full synlighet på alla tillägg som installeras och används av anställda i hela organisationen


SquareX grundare Vivek Ramachandran varnar: "Identitetsattacker riktade mot webbläsartillägg som liknar denna OAuth-attack kommer bara att bli vanligare eftersom anställda förlitar sig på fler webbläsarbaserade verktyg för att vara produktiva på jobbet. Liknande varianter av dessa attacker har använts tidigare för att stjäla molndata från appar som Google Drive och One Drive och vi kommer bara att se angripare bli mer kreativa i att utnyttja webbläsartillägg. Företag måste förbli vaksamma och minimera risken i leveranskedjan utan att hämma de anställdas produktivitet genom att utrusta dem med rätt webbläsarinbyggda verktyg."

Om SquareX:

SquareX hjälper organisationer att upptäcka, mildra och hotjakta webbattacker på klientsidan som sker mot deras användare i realtid.


SquareX:s industriförsta lösning för webbläsardetektering och -svar (BDR) har en attackfokuserad strategi för webbläsarsäkerhet, vilket säkerställer att företagsanvändare är skyddade mot avancerade hot som skadliga QR-koder, webbläsare-i-webbläsaren nätfiske, makrobaserad skadlig programvara, och andra webbattacker som omfattar skadliga filer, webbplatser, skript och komprometterade nätverk.


Med SquareX kan företag ge entreprenörer och distansarbetare säker åtkomst till interna applikationer och företags SaaS, och konvertera webbläsarna på BYOD/ohanterade enheter till betrodda surfsessioner.

Kontakta

Chef för PR

Junice Liew

SquareX

[email protected]

Den här historien distribuerades som en release av Cybernewswire under HackerNoons Business Blogging Program. Läs mer om programmet här




Notion
L O A D I N G
. . . comments & more!

About Author

CyberNewswire HackerNoon profile picture
CyberNewswire@cybernewswire
The world's leading cybersecurity press release distribution platform.
Read my stories

HÄNG TAGGAR

purcat-imgcybersecurity #cybersecurity #squarex #cybernewswire #press-release #squarex-announcement #cyber-threats #cyber-attack #good-company

DENNA ARTIKEL PRESENTERAS I...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

RELATERADE BERÄTTELSER

Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas