113 čítania

SquareX odhaľuje „synchronizáciu prehliadača“, novú techniku útoku, ktorá ohrozuje milióny ľudí

podľa CyberNewswire6m2025/01/30

Príliš dlho; Čítať

SquareX odhaľuje novú techniku útoku, ktorá ukazuje, ako sa dajú použiť škodlivé rozšírenia na úplné napadnutie prehliadača a nakoniec aj celého zariadenia. Útok začína tým, že zamestnanec nainštaluje ľubovoľné rozšírenie prehliadača. Rozšírenie potom „potichu“ overí obeť do profilu Chrome spravovaného útočníkovým Google Workspace.

featured image - SquareX odhaľuje „synchronizáciu prehliadača“, novú techniku útoku, ktorá ohrozuje milióny ľudí

PALO ALTO, USA, 30. januára 2025/CyberNewsWire/--SquareX odhaľuje novú techniku útoku, ktorá ukazuje, ako sa dajú použiť škodlivé rozšírenia na úplné napadnutie prehliadača a nakoniec aj celého zariadenia.

Rozšírenia prehliadača boli nedávno v centre pozornosti správ o podnikovej bezpečnosti v dôsledku vlny útokov OAuth na vývojárov rozšírení Chrome a útokov na exfiltráciu údajov.

Doteraz sa však z dôvodu obmedzení, ktoré predajcovia prehliadačov kladú na subsystém rozšírení a rozšírenia, považovalo za nemožné, aby rozšírenia získali plnú kontrolu nad prehliadačom, tým menej nad zariadením.

SquareX Výskumníci Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy a Pankaj Sharma vyvrátili túto vieru tým, že ukázali, ako môžu útočníci použiť škodlivé rozšírenia na eskaláciu privilégií na vykonanie úplného prevzatia prehliadača a zariadenia, a to všetko s minimálnou interakciou používateľa.

Záškodnícke rozšírenie vyžaduje iba funkcie čítania a zápisu, ktoré sú prítomné vo väčšine rozšírení prehliadača v obchode Chrome, vrátane bežných nástrojov na zvýšenie produktivity, ako sú Grammarly, Calendly a Loom, čím sa znižuje citlivosť používateľov na udeľovanie týchto povolení.

Toto odhalenie naznačuje, že prakticky každé rozšírenie prehliadača by mohlo potenciálne slúžiť ako vektor útoku, ak by ho vytvoril alebo prevzal útočník. Podľa nášho najlepšieho pochopenia, rozšírenia odoslané do obchodu Chrome Store požadujúce tieto možnosti nie sú v čase písania tohto článku podrobené ďalšej bezpečnostnej kontrole.

Útok na synchronizáciu prehliadača možno rozdeliť na tri časti: ako rozšírenie potichu pridá profil spravovaný útočníkom, unesie prehliadač a nakoniec získa plnú kontrolu nad zariadením.

Krádež profilu

Útok začína tým, že zamestnanec nainštaluje akékoľvek rozšírenie prehliadača – môže to zahŕňať zverejnenie rozšírenia, ktoré sa vydáva za nástroj AI, alebo prevzatie existujúcich populárnych rozšírení, ktoré môžu mať celkovo až milióny inštalácií.

Rozšírenie potom „potichu“ overí obeť do profilu Chrome spravovaného útočníkovým Google Workspace. To všetko sa deje automatizovaným spôsobom v okne na pozadí, vďaka čomu je celý proces pre obeť takmer nepostrehnuteľný.

Akonáhle dôjde k tejto autentifikácii, útočník má plnú kontrolu nad novo spravovaným profilom v prehliadači obete, čo mu umožňuje presadzovať automatické pravidlá, ako je zakázanie bezpečného prehliadania a ďalšie bezpečnostné funkcie.

Pomocou veľmi dômyselného útoku sociálneho inžinierstva, ktorý využíva dôveryhodné domény, môže protivník ďalej eskalovať útok na únos profilu a ukradnúť heslá z prehliadača obete. Škodlivé rozšírenie môže napríklad otvoriť a upraviť oficiálnu stránku podpory spoločnosti Google o tom, ako synchronizovať používateľské účty, aby obeť vyzvala, aby vykonala synchronizáciu iba niekoľkými kliknutiami.

Po synchronizácii profilu majú útočníci plný prístup ku všetkým prihlasovacím údajom a histórii prehliadania uloženej lokálne. Keďže tento útok využíva iba legitímne stránky a nemá žiadne viditeľné známky toho, že bol rozšírením upravený, nespustí žiadne poplašné zvončeky v žiadnych bezpečnostných riešeniach monitorujúcich sieťovú prevádzku.

Prevzatie prehliadača

Na dosiahnutie úplného prevzatia prehliadača útočník v podstate potrebuje previesť prehliadač Chrome obete na spravovaný prehliadač.

Rovnaké rozšírenie monitoruje a zachytáva legitímne sťahovanie, ako je aktualizácia Zoom, a nahrádza ho spustiteľným súborom útočníka, ktorý obsahuje registračný token a záznam v registri, aby sa z prehliadača Chrome obete stal spravovaný prehliadač.

Obeť, ktorá si myslí, že si stiahla aktualizátor zoomu, spustí súbor, čo skončí inštaláciou položky databázy Registry, ktorá prikáže prehliadaču, aby ho spravoval útočníkov Google Workspace.

To umožňuje útočníkovi získať plnú kontrolu nad prehliadačom obete, deaktivovať bezpečnostné funkcie, nainštalovať ďalšie škodlivé rozšírenia, exfiltrovať dáta a dokonca potichu presmerovať používateľov na phishingové stránky. Tento útok je mimoriadne silný, pretože neexistuje žiadny vizuálny rozdiel medzi spravovaným a nespravovaným prehliadačom.

Bežnému používateľovi nič nenaznačuje, že došlo k eskalácii privilégií, pokiaľ si obeť nie je plne vedomá bezpečnosti a pravidelne si kontroluje nastavenia prehliadača a hľadá asociácie s neznámym účtom Google Workspace.

Únos zariadenia

S rovnakým stiahnutým súborom vyššie môže útočník dodatočne vložiť položky databázy Registry potrebné pre škodlivé rozšírenie do správ natívnych aplikácií. To umožňuje rozšíreniu priamo interagovať s miestnymi aplikáciami bez ďalšieho overovania.

Po nadviazaní spojenia môžu útočníci použiť rozšírenie v spojení s lokálnym shellom a ďalšími dostupnými natívnymi aplikáciami na tajné zapnutie kamery zariadenia, snímanie zvuku, nahrávanie obrazoviek a inštaláciu škodlivého softvéru – v podstate poskytuje úplný prístup ku všetkým aplikáciám a dôverným údajom. na zariadení.

Útok na synchronizáciu prehliadača odhaľuje základnú chybu v spôsobe spravovania vzdialene spravovaných profilov a prehliadačov. Dnes si každý môže vytvoriť účet spravovaného pracovného priestoru viazaný na novú doménu a rozšírenie prehliadača bez akejkoľvek formy overenia identity, čo znemožňuje pripisovať tieto útoky.

Bohužiaľ, väčšina podnikov má v súčasnosti nulovú viditeľnosť prehliadača – väčšina z nich nemá spravované prehliadače ani profily, ani žiadnu viditeľnosť pre rozšírenia, ktoré zamestnanci často inštalujú na základe trendových nástrojov a odporúčaní sociálnych médií.

To, čo robí tento útok obzvlášť nebezpečným, je to, že funguje s minimálnymi povoleniami a takmer bez interakcie používateľa, čo si vyžaduje iba jemný krok sociálneho inžinierstva s použitím dôveryhodných webových stránok, vďaka čomu je pre zamestnancov takmer nemožné ho odhaliť.

Zatiaľ čo nedávne incidenty, ako napríklad porušenie Cyberhaven, už ohrozili stovky, ak nie tisíce organizácií, tieto útoky si vyžadovali relatívne zložité sociálne inžinierstvo. Devastujúca subtílna povaha tohto útoku – s extrémne nízkym prahom interakcie používateľa – robí tento útok nielen mimoriadne účinným, ale tiež vrhá svetlo na desivú možnosť, že protivníci už dnes využívajú túto techniku na kompromitovanie podnikov.

Ak sa organizácia nerozhodne úplne zablokovať rozšírenia prehliadača prostredníctvom spravovaných prehliadačov, útok synchronizácie prehliadača úplne obíde existujúce čierne listiny a pravidlá založené na povoleniach.

Zakladateľ SquareX Vivek Ramachandran hovorí: „Tento výskum odhaľuje kritické slepé miesto v podnikovej bezpečnosti. Tradičné bezpečnostné nástroje jednoducho nedokážu vidieť ani zastaviť tieto sofistikované útoky založené na prehliadači. To, čo robí tento objav obzvlášť alarmujúcim, je spôsob, akým premieňa zdanlivo nevinné rozšírenia prehliadača na kompletné nástroje na prevzatie zariadení, a to všetko pod kontrolou konvenčných bezpečnostných opatrení, ako sú EDR a SASE/SSE Secure Web Gateways. Riešenie Browser Detection-Response už nie je len možnosťou – je to nevyhnutnosť. Bez viditeľnosti a kontroly na úrovni prehliadača organizácie v podstate nechávajú svoje predné dvere útočníkom otvorené. Táto technika útoku demonštruje, prečo sa bezpečnosť musí „posunúť“ tam, kde sa hrozby skutočne dejú: v samotnom prehliadači.“

SquareX vykonáva priekopnícky bezpečnostný výskum týkajúci sa rozšírení prehliadača, vrátane prednášky DEF CON 32 Sneaky Extensions: The MV3 Escape Artists ktorý odhalil viacero škodlivých rozšírení kompatibilných s MV3.

Tento výskumný tím bol tiež prvým, ktorý objavil a zverejnil Útok OAuth na vývojárov rozšírenia Chrome týždeň pred Porušenie Cyberhavenu . SquareX bol tiež zodpovedný za objav Opätovná montáž poslednej míle útoky, nová trieda útokov na strane klienta, ktorá využíva architektonické chyby a úplne obchádza všetky riešenia Secure Web Gateway.

Na základe tohto výskumu, riešenie SquareX Browser Detection and Response, prvé v odvetví, chráni podniky pred pokročilými útokmi založenými na rozšíreniach vrátane pokusov o únos zariadenia vykonávaním dynamickej analýzy všetkých aktivít rozšírení prehliadača za behu, čím poskytuje skóre rizika všetkým aktívnym rozšíreniam v podniku a ďalej identifikovať akékoľvek útoky, voči ktorým môžu byť zraniteľné.

Ďalšie informácie o útoku synchronizácie prehliadača nájdete v ďalších zisteniach z tohto výskumu na adrese sqrx.com/research .

O SquareX

SquareX pomáha organizáciám odhaľovať, zmierňovať a vyhľadávať hrozby na klientskej strane webové útoky, ktoré sa dejú proti ich používateľom v reálnom čase.

Prvé riešenie na detekciu a odozvu prehliadača (BDR) od spoločnosti SquareX využíva prístup k zabezpečeniu prehliadača zameraný na útoky, čím zaisťuje ochranu podnikových používateľov pred pokročilými hrozbami, ako sú škodlivé QR kódy, phishing v prehliadači, malvér založený na makrách a iné webové útoky zahŕňajúce škodlivé súbory, webové stránky, skripty a napadnuté siete.

Navyše s SquareX môžu podniky poskytnúť dodávateľom a vzdialeným pracovníkom bezpečný prístup k interným aplikáciám, podnikovým SaaS a konvertovať prehliadače na BYOD/nespravovaných zariadeniach na dôveryhodné relácie prehliadania.