Новая гісторыя

SquareX раскрывае «сінджэк браўзера», новую тэхніку атакі, якая ставіць пад пагрозу мільёны

па CyberNewswire6m2025/01/30

Занадта доўга; Чытаць

SquareX раскрывае новую тэхніку атакі, якая паказвае, як шкоднасныя пашырэнні можна выкарыстоўваць для поўнага захопу браўзера і, у рэшце рэшт, усёй прылады. Атака пачынаецца з таго, што супрацоўнік усталёўвае любое пашырэнне браўзера. Затым пашырэнне «негалосна» аўтэнтыфікуе ахвяру ў профілі Chrome, які кіруецца Google Workspace зламысніка.

featured image - SquareX раскрывае «сінджэк браўзера», новую тэхніку атакі, якая ставіць пад пагрозу мільёны

ПАЛА-АЛЬТА, ЗША, 30 студзеня 2025 г./CyberNewsWire/--SquareX раскрывае новую тэхніку атакі, якая паказвае, як шкоднасныя пашырэнні можна выкарыстоўваць для поўнага захопу браўзера і, у рэшце рэшт, усёй прылады.

Апошнім часам пашырэнні браўзераў былі ў цэнтры ўвагі ў навінах па бяспецы прадпрыемстваў з-за хвалі OAuth-атак на распрацоўшчыкаў пашырэнняў Chrome і нападаў крадзяжу даных.

Аднак дагэтуль з-за абмежаванняў, якія пастаўшчыкі браўзераў накладваюць на падсістэму пашырэнняў і пашырэнні, лічылася, што пашырэнні не могуць атрымаць поўны кантроль над браўзерам, а тым больш над прыладай.

SquareX даследчыкі Дакшытаа Бабу, Арпіт Гупта, Сункугары Тэджэсвара Рэдзі і Панкадж Шарма развянчалі гэта перакананне, прадэманстраваўшы, як зламыснікі могуць выкарыстоўваць шкоднасныя пашырэнні для павышэння прывілеяў для поўнага захопу браўзера і прылады, усё з мінімальным узаемадзеяннем карыстальніка.

Важным з'яўляецца тое, што для шкоднаснага пашырэння патрэбныя толькі магчымасці чытання/запісу, якія ёсць у большасці пашырэнняў браўзера ў Chrome Store, у тым ліку звычайных інструментаў павышэння прадукцыйнасці, такіх як Grammarly, Calendly і Loom, што не дазваляе карыстальнікам даваць гэтыя дазволы.

Гэта адкрыццё дазваляе выказаць здагадку, што практычна любое пашырэнне браўзера патэнцыйна можа служыць у якасці вектара атакі, калі яно будзе створана або захоплена зламыснікам. Наколькі мы разумеем, пашырэнні, адпраўленыя ў Краму Chrome з запытам на гэтыя магчымасці, не праходзяць дадатковы кантроль бяспекі на момант напісання гэтага артыкула.

Атаку сінхранізацыі браўзера можна разбіць на тры часткі: як пашырэнне моўчкі дадае профіль, якім кіруе зламыснік, захоплівае браўзер і ў канчатковым выніку атрымлівае поўны кантроль над прыладай.

Выкраданне профілю

Атака пачынаецца з таго, што супрацоўнік усталёўвае любое пашырэнне браўзера - гэта можа ўключаць у сябе публікацыю пашырэння, якое маскіруецца пад інструмент штучнага інтэлекту, або захоп існуючых папулярных пашырэнняў, якія могуць мець да мільёнаў установак у сукупнасці.

Затым пашырэнне «негалосна» аўтэнтыфікуе ахвяру ў профілі Chrome, якім кіруе Google Workspace зламысніка. Усё гэта робіцца ў аўтаматычным рэжыме ў фонавым акне, што робіць увесь працэс амаль незаўважным для ахвяры.

Пасля праверкі сапраўднасці зламыснік атрымлівае поўны кантроль над новым кіраваным профілем у браўзеры ахвяры, дазваляючы ім націскаць аўтаматызаваныя палітыкі, такія як адключэнне бяспечнага прагляду і іншыя функцыі бяспекі.

Выкарыстоўваючы вельмі разумную атаку сацыяльнай інжынерыі, якая выкарыстоўвае давераныя дамены, праціўнік можа затым яшчэ больш узмацніць атаку захопу профілю, каб скрасці паролі з браўзера ахвяры. Напрыклад, шкоднаснае пашырэнне можа адкрыць і змяніць афіцыйную старонку падтрымкі Google аб тым, як сінхранізаваць уліковыя запісы карыстальнікаў, каб прапанаваць ахвяры выканаць сінхранізацыю ўсяго ў некалькі клікаў.

Пасля сінхранізацыі профілю зламыснікі атрымліваюць поўны доступ да ўсіх уліковых дадзеных і гісторыі прагляду, якія захоўваюцца лакальна. Паколькі гэтая атака задзейнічае толькі законныя сайты і не мае бачных прыкмет таго, што яна была зменена пашырэннем, яна не выкліча ніякіх сігналаў трывогі ў любых рашэннях бяспекі, якія кантралююць сеткавы трафік.

Захоп браўзера

Каб дасягнуць поўнага захопу браўзера, зламысніку неабходна пераўтварыць браўзер Chrome ахвяры ў кіраваны браўзер.

Тое ж пашырэнне кантралюе і перахоплівае законную загрузку, напрыклад, абнаўленне Zoom, і замяняе яе выканальным файлам зламысніка, які змяшчае маркер рэгістрацыі і запіс у рэестры, каб ператварыць браўзер Chrome ахвяры ў кіраваны браўзер.

Мяркуючы, што яны спампавалі праграму абнаўлення Zoom, ахвяра запускае файл, які ў выніку ўсталёўвае запіс у рэестры, які загадвае браўзеру стаць кіраваным Google Workspace зламысніка.

Гэта дазваляе зламысніку атрымаць поўны кантроль над браўзерам ахвяры, каб адключыць функцыі бяспекі, усталяваць дадатковыя шкоднасныя пашырэнні, выкрасці даныя і нават моўчкі перанакіроўваць карыстальнікаў на фішынгавыя сайты. Гэтая атака надзвычай моцная, паколькі няма візуальнай розніцы паміж кіраваным і некіравальным браўзерам.

Для звычайнага карыстальніка няма сігналу аб павышэнні прывілеяў, калі толькі ахвяра не добра ведае бяспеку і рэгулярна правярае налады браўзера і шукае сувязі з незнаёмым уліковым запісам Google Workspace.

Выкраданне прылады

З дапамогай таго ж загружанага вышэй файла зламыснік можа дадаткова ўставіць запісы ў рэестр, неабходныя для шкоднаснага пашырэння, для паведамлення ўласных праграм. Гэта дазваляе пашырэнню непасрэдна ўзаемадзейнічаць з лакальнымі праграмамі без дадатковай аўтэнтыфікацыі.

Пасля ўстаноўкі злучэння зламыснікі могуць выкарыстоўваць пашырэнне ў спалучэнні з лакальнай абалонкай і іншымі даступнымі ўласнымі праграмамі, каб таемна ўключыць камеру прылады, запісваць аўдыё, запісваць экраны і ўсталёўваць шкоднаснае праграмнае забеспячэнне - па сутнасці забяспечваючы поўны доступ да ўсіх праграм і канфідэнцыйных даных на прыладзе.

Атака сінхранізацыі браўзера раскрывае фундаментальны недахоп у спосабе кіравання профілямі і браўзерамі з аддаленым кіраваннем. Сёння кожны можа стварыць уліковы запіс кіраванай працоўнай прасторы, прывязаны да новага дамена і пашырэння браўзера, без якой-небудзь формы праверкі асобы, што робіць немагчымым прыпісванне гэтых нападаў.

На жаль, большасць прадпрыемстваў у цяперашні час не бачаць браўзеры - большасць не мае кіраваных браўзераў або профіляў, а таксама не бачыць пашырэнняў, якія часта ўсталёўваюць супрацоўнікі на аснове папулярных інструментаў і рэкамендацый сацыяльных сетак.

Што робіць гэтую атаку асабліва небяспечнай, так гэта тое, што яна працуе з мінімальнымі дазволамі і амаль без узаемадзеяння з карыстальнікам, патрабуючы толькі тонкага этапу сацыяльнай інжынерыі з выкарыстаннем давераных вэб-сайтаў - што робіць амаль немагчымым яе выяўленне для супрацоўнікаў.

У той час як нядаўнія інцыдэнты, такія як узлом Cyberhaven, ужо скампраметавалі сотні, калі не тысячы арганізацый, гэтыя атакі патрабавалі адносна складанай сацыяльнай інжынерыі для працы. Разбуральна тонкі характар гэтай атакі - з надзвычай нізкім парогам узаемадзеяння з карыстальнікам - не толькі робіць гэтую атаку надзвычай магутнай, але таксама пралівае святло на жахлівую магчымасць таго, што праціўнікі ўжо выкарыстоўваюць гэтую тэхніку для ўзлому прадпрыемстваў сёння.

Калі арганізацыя не вырашыць цалкам заблакіраваць пашырэнні браўзераў праз кіраваныя браўзеры, атака сінхранізацыі браўзера цалкам абыдзе існуючыя чорныя спісы і палітыкі, заснаваныя на дазволах.

Заснавальнік SquareX Вівек Рамачандран кажа: «Гэта даследаванне выяўляе крытычную сляпую пляму ў бяспецы прадпрыемства. Традыцыйныя інструменты бяспекі проста не могуць убачыць або спыніць гэтыя складаныя атакі на аснове браўзера. Што робіць гэта адкрыццё асабліва трывожным, так гэта тое, як яно ператварае, здавалася б, нявінныя пашырэнні браўзера ў поўныя інструменты захопу прылад, і ўсё гэта знаходзіцца пад радарам звычайных мер бяспекі, такіх як EDR і бяспечныя вэб-шлюзы SASE/SSE. Рашэнне браўзера Detection-Response - гэта ўжо не проста варыянт - гэта неабходнасць. Без бачнасці і кантролю на ўзроўні браўзера арганізацыі па сутнасці пакідаюць свае ўваходныя дзверы шырока адчыненымі для зламыснікаў. Гэтая тэхніка атакі дэманструе, чаму бяспека павінна «перамяшчацца» туды, дзе на самой справе адбываюцца пагрозы: у самім браўзеры».

SquareX праводзіць піянерскія даследаванні па бяспецы пашырэнняў браўзераў, у тым ліку гутарку DEF CON 32 Sneaky Extensions: The MV3 Escape Artists які выявіў некалькі шкоднасных пашырэнняў, сумяшчальных з MV3.

Гэтая даследчая група таксама была першай, хто выявіў і раскрыў Атака OAuth на распрацоўшчыкаў пашырэнняў Chrome за тыдзень да Узлом Cyberhaven . SquareX таксама быў адказны за адкрыццё Зборка апошняй мілі атакі, новы клас кліенцкіх атак, якія выкарыстоўваюць архітэктурныя недахопы і цалкам абыходзяць усе рашэнні Secure Web Gateway.

Грунтуючыся на гэтым даследаванні, першае ў галіны рашэнне SquareX для выяўлення браўзераў і рэагавання абараняе прадпрыемствы ад прасунутых атак на аснове пашырэнняў, уключаючы спробы захопу прылады, шляхам правядзення дынамічнага аналізу ўсіх дзеянняў пашырэнняў браўзера падчас выканання, падаючы адзнаку рызыкі для ўсіх актыўных пашырэнняў на прадпрыемстве і далейшае вызначэнне любых нападаў, да якіх яны могуць быць уразлівыя.

Для атрымання дадатковай інфармацыі аб атаках сінхранізацыі браўзера, дадатковыя вынікі гэтага даследавання даступныя на sqrx.com/research .

Пра SquareX

SquareX дапамагае арганізацыям у рэжыме рэальнага часу выяўляць, памяншаць і шукаць кліенцкія вэб-атакі супраць іх карыстальнікаў.

Першае ў галіны рашэнне SquareX для выяўлення і рэагавання ў браўзеры (BDR) выкарыстоўвае арыентаваны на атакі падыход да бяспекі браўзера, гарантуючы карпаратыўным карыстальнікам абарону ад пашыраных пагроз, такіх як шкоднасныя QR-коды, фішынг браўзера ў браўзеры, шкоднасныя праграмы на аснове макрасаў і іншыя вэб-атакі, якія ахопліваюць шкоднасныя файлы, вэб-сайты, скрыпты і ўзламаныя сеткі.

Акрамя таго, з SquareX прадпрыемствы могуць прадастаўляць падрадчыкам і аддаленым супрацоўнікам бяспечны доступ да ўнутраных прыкладанняў, карпаратыўных SaaS і пераўтвараць браўзеры на BYOD / некіравальных прыладах у давераныя сеансы прагляду.