SquareX onthul "Browser Syncjacking", 'n nuwe aanvalstegniek wat miljoene in gevaar stel

PALO ALTO, VSA, 30 Januarie 2025/CyberNewsWire/--SquareX openbaar 'n nuwe aanvalstegniek wat wys hoe kwaadwillige uitbreidings gebruik kan word om die blaaier, en uiteindelik die hele toestel, heeltemal te kaap.

Blaaieruitbreidings was onlangs onder die soeklig in ondernemingsekuriteitsnuus weens die vlaag OAuth-aanvalle op Chrome-uitbreidingsontwikkelaars en data-eksfiltrasie-aanvalle.

Vanweë die beperkings wat blaaierverkopers op die uitbreidingsubstelsel en uitbreidings plaas, is daar egter tot nou toe gedink dat dit onmoontlik is vir uitbreidings om volle beheer oor die blaaier te verkry, nog minder die toestel.

SquareX navorsers Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy en Pankaj Sharma het hierdie oortuiging ontken deur te demonstreer hoe aanvallers kwaadwillige uitbreidings kan gebruik om voorregte te eskaleer om 'n volledige blaaier en toesteloorname te doen, alles met minimale gebruikersinteraksie.

Van kritieke belang vereis die kwaadwillige uitbreiding slegs lees-/skryfvermoëns wat teenwoordig is in die meeste blaaieruitbreidings in die Chrome Winkel, insluitend algemene produktiwiteitnutsgoed soos Grammarly, Calendly en Loom, wat gebruikers ongevoelig maak om hierdie toestemmings toe te staan.

Hierdie onthulling dui daarop dat feitlik enige blaaieruitbreiding moontlik as 'n aanvalvektor kan dien as dit deur 'n aanvaller geskep of oorgeneem word. Na die beste van ons verstaan, word uitbreidings wat by die Chrome Winkel ingedien word en hierdie vermoëns versoek nie ten tyde van hierdie skrywe deur addisionele sekuriteitsondersoeke geplaas nie.

Die blaaier-sincjacking-aanval kan in drie dele opgedeel word: hoe die uitbreiding stilweg 'n profiel byvoeg wat deur die aanvaller bestuur word, die blaaier kaap en uiteindelik volle beheer oor die toestel verkry.

Profielkaping

Die aanval begin met 'n werknemer wat enige blaaieruitbreiding installeer - dit kan behels dat een gepubliseer word wat hom as 'n KI-instrument voordoen of bestaande gewilde uitbreidings oorneem wat altesaam tot miljoene installasies kan hê.

Die uitbreiding staaf dan die slagoffer "stil" in 'n Chrome-profiel wat deur die aanvaller se Google Workspace bestuur word. Dit word alles op 'n outomatiese wyse in 'n agtergrondvenster gedoen, wat die hele proses byna onmerkbaar maak vir die slagoffer.

Sodra hierdie verifikasie plaasvind, het die aanvaller volle beheer oor die nuut bestuurde profiel in die slagoffer se blaaier, wat hulle in staat stel om outomatiese beleide soos die deaktivering van veilige blaai en ander sekuriteitskenmerke te stoot.

Deur 'n baie slim sosiale ingenieursaanval te gebruik wat vertroude domeine uitbuit, kan die teëstander dan die profielkapingsaanval verder eskaleer om wagwoorde van die slagoffer se blaaier te steel. Byvoorbeeld, die kwaadwillige uitbreiding kan Google se amptelike ondersteuningsbladsy oopmaak en wysig oor hoe om gebruikersrekeninge te sinkroniseer om die slagoffer te vra om die sinkronisering uit te voer met net 'n paar kliks.

Sodra die profiel gesinkroniseer is, het aanvallers volle toegang tot alle geloofsbriewe en blaaigeskiedenis wat plaaslik gestoor is. Aangesien hierdie aanval slegs wettige webwerwe gebruik en geen sigbare teken het dat dit deur die uitbreiding gewysig is nie, sal dit geen alarmklokkies aktiveer in enige sekuriteitsoplossings wat die netwerkverkeer monitor nie.

Blaaier Oorname

Om 'n volledige blaaieroorname te verkry, moet die aanvaller in wese die slagoffer se Chrome-blaaier in 'n bestuurde blaaier omskakel.

Dieselfde uitbreiding monitor en onderskep 'n wettige aflaai, soos 'n Zoom-opdatering, en vervang dit met die aanvaller se uitvoerbare lêer, wat 'n inskrywingsteken en registerinskrywing bevat om die slagoffer se Chrome-blaaier in 'n bestuurde blaaier te verander.

Met die idee dat hulle 'n Zoom-opdatering afgelaai het, voer die slagoffer die lêer uit, wat uiteindelik 'n registerinskrywing installeer wat die blaaier opdrag gee om deur die aanvaller se Google Workspace bestuur te word.

Dit stel die aanvaller in staat om volle beheer oor die slagoffer se blaaier te verkry om sekuriteitskenmerke te deaktiveer, addisionele kwaadwillige uitbreidings te installeer, data te eksfiltreer en gebruikers selfs stilweg na uitvissingwebwerwe te herlei. Hierdie aanval is uiters kragtig aangesien daar geen visuele verskil tussen 'n bestuurde en onbestuurde blaaier is nie.

Vir 'n gewone gebruiker is daar geen duidelike teken dat 'n voorregte-eskalasie plaasgevind het nie, tensy die slagoffer hoogs sekuriteitsbewus is en uit hul pad gaan om gereeld hul blaaierinstellings te inspekteer en te soek na assosiasies met 'n onbekende Google Workspace-rekening.

Toestelkaping

Met dieselfde afgelaaide lêer hierbo, kan die aanvaller addisioneel registerinskrywings wat vir die kwaadwillige uitbreiding vereis word, invoeg om inheemse toepassings te stuur. Dit laat die uitbreiding toe om direk met plaaslike toepassings te kommunikeer sonder verdere verifikasie.

Sodra die verbinding tot stand gebring is, kan aanvallers die uitbreiding in samewerking met die plaaslike dop en ander beskikbare inheemse toepassings gebruik om die toestelkamera in die geheim aan te skakel, oudio vas te vang, skerms op te neem en kwaadwillige sagteware te installeer - wat in wese volle toegang tot alle toepassings en vertroulike data bied. op die toestel.

Die blaaier-sincjacking-aanval ontbloot 'n fundamentele fout in die manier waarop afstandbestuurde profiele en blaaiers bestuur word. Vandag kan enigiemand 'n bestuurde werkruimterekening skep wat gekoppel is aan 'n nuwe domein en 'n blaaieruitbreiding sonder enige vorm van identiteitsverifikasie, wat dit onmoontlik maak om hierdie aanvalle toe te skryf.

Ongelukkig het die meeste ondernemings tans geen sigbaarheid in die blaaier nie - die meeste het nie bestuurde blaaiers of profiele nie, en ook nie enige sigbaarheid van die uitbreidings wat werknemers dikwels installeer op grond van gewilde nutsmiddels en aanbevelings op sosiale media nie.

Wat hierdie aanval veral gevaarlik maak, is dat dit werk met minimale toestemmings en byna geen gebruikerinteraksie nie, wat slegs 'n subtiele sosiale ingenieurswese-stap vereis deur vertroude webwerwe te gebruik - wat dit byna onmoontlik maak vir werknemers om op te spoor.

Terwyl onlangse voorvalle soos die Cyberhaven-oortreding reeds honderde, indien nie duisende, organisasies in die gedrang gebring het nie, het daardie aanvalle relatief komplekse sosiale ingenieurswese vereis om te funksioneer. Die verwoestende subtiele aard van hierdie aanval - met 'n uiters lae drempel van gebruikersinteraksie - maak nie net hierdie aanval uiters kragtig nie, maar werp ook lig op die skrikwekkende moontlikheid dat teëstanders reeds hierdie tegniek gebruik om ondernemings vandag in die gedrang te bring.

Tensy 'n organisasie kies om blaaieruitbreidings heeltemal te blokkeer via bestuurde blaaiers, sal die blaaier-sinkroniseringsaanval bestaande swartlyste en toestemmingsgebaseerde beleide heeltemal omseil.

SquareX se stigter Vivek Ramachandran sê “Hierdie navorsing ontbloot 'n kritieke blindekol in ondernemingsekuriteit. Tradisionele sekuriteitsnutsgoed kan eenvoudig nie hierdie gesofistikeerde blaaier-gebaseerde aanvalle sien of stop nie. Wat hierdie ontdekking veral kommerwekkend maak, is hoe dit oënskynlik onskuldige blaaieruitbreidings in volledige toesteloorname-instrumente wapen, alles terwyl dit onder die radar van konvensionele sekuriteitsmaatreëls soos EDR's en SASE/SSE Secure Web Gateways vlieg. 'n Blaaieropsporing-reaksie-oplossing is nie meer net 'n opsie nie - dit is 'n noodsaaklikheid. Sonder sigbaarheid en beheer op die blaaiervlak, laat organisasies in wese hul voordeur wawyd oop vir aanvallers. Hierdie aanvalstegniek demonstreer waarom sekuriteit moet 'opskuif' na waar die bedreigings werklik plaasvind: in die blaaier self.

SquareX het baanbrekersnavorsing gedoen oor blaaieruitbreidings, insluitend die DEF CON 32-toespraak Sneaky Extensions: Die MV3 Escape Artists wat verskeie kwaadwillige uitbreidings wat aan MV3 voldoen, aan die lig gebring het.

Hierdie navorsingspan was ook die eerste wat die ontdek en bekend gemaak het OAuth-aanval op Chrome-uitbreidingsontwikkelaars 'n week voor die Cyberhaven-oortreding . SquareX was ook verantwoordelik vir die ontdekking van Laaste myl hersamestelling aanvalle, 'n nuwe klas van kliënt-kant aanvalle wat argitektoniese foute uitbuit en heeltemal omseil alle Veilige Web Gateway oplossings.

Gebaseer op hierdie navorsing, beskerm SquareX se industrie-eerste blaaieropsporing- en -reaksie-oplossing ondernemings teen gevorderde uitbreidingsgebaseerde aanvalle, insluitend toestelkapingspogings deur dinamiese ontleding uit te voer op alle blaaieruitbreidingsaktiwiteite tydens looptyd, wat 'n risikotelling bied aan alle aktiewe uitbreidings regoor die onderneming en verder identifiseer enige aanvalle waarvoor hulle kwesbaar kan wees.

Vir meer inligting oor die blaaier-sincjacking-aanval, is bykomende bevindinge van hierdie navorsing beskikbaar by sqrx.com/research .

Oor SquareX

SquareX help organisasies om kliënt-kant webaanvalle wat intyds teen hul gebruikers plaasvind op te spoor, te versag en te bedreig-jag.

SquareX se industrie-eerste blaaieropsporing en -reaksie (BDR)-oplossing, neem 'n aanval-gefokusde benadering tot blaaier-sekuriteit, wat verseker dat ondernemingsgebruikers beskerm word teen gevorderde bedreigings soos kwaadwillige QR-kodes, blaaier-in-die-blaaier-uitvissing, makro-gebaseerde wanware en ander webaanvalle wat kwaadwillige lêers, webwerwe, skrifte en gekompromitteerde netwerke insluit.

Boonop kan ondernemings met SquareX aan kontrakteurs en afgeleë werkers veilige toegang bied tot interne toepassings, onderneming SaaS, en die blaaiers op BYOD/onbestuurde toestelle omskakel in betroubare blaaisessies.

Kontak

Hoof van PR

Junice Liew

SquareX

[email protected]