Nouvelle histoire

SquareX révèle le « Browser Syncjacking », une nouvelle technique d’attaque qui met des millions de personnes en danger

par CyberNewswire6m2025/01/30

Trop long; Pour lire

SquareX révèle une nouvelle technique d’attaque qui montre comment des extensions malveillantes peuvent être utilisées pour pirater complètement le navigateur et, à terme, l’ensemble de l’appareil. L’attaque commence par l’installation par un employé d’une extension de navigateur. L’extension authentifie ensuite « silencieusement » la victime dans un profil Chrome géré par l’espace de travail Google de l’attaquant.

featured image - SquareX révèle le « Browser Syncjacking », une nouvelle technique d’attaque qui met des millions de personnes en danger

PALO ALTO, États-Unis, 30 janvier 2025/CyberNewsWire/--SquareX révèle une nouvelle technique d'attaque qui montre comment des extensions malveillantes peuvent être utilisées pour détourner complètement le navigateur et, finalement, l'ensemble de l'appareil.

Les extensions de navigateur ont récemment été sous le feu des projecteurs dans l’actualité de la sécurité des entreprises en raison de la vague d’attaques OAuth sur les développeurs d’extensions Chrome et des attaques d’exfiltration de données.

Cependant, jusqu'à présent, en raison des limitations imposées par les fournisseurs de navigateurs au sous-système d'extension et aux extensions, on pensait qu'il était impossible pour les extensions d'obtenir le contrôle total du navigateur, et encore moins de l'appareil.

CarréX Les chercheurs Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy et Pankaj Sharma ont démystifié cette croyance en démontrant comment les attaquants peuvent utiliser des extensions malveillantes pour augmenter les privilèges afin de procéder à une prise de contrôle complète du navigateur et de l'appareil, le tout avec une interaction minimale de l'utilisateur.

Surtout, l’extension malveillante ne nécessite que les capacités de lecture/écriture présentes dans la majorité des extensions de navigateur sur le Chrome Store, y compris les outils de productivité courants comme Grammarly, Calendly et Loom, désensibilisant les utilisateurs à l’octroi de ces autorisations.

Cette révélation suggère que pratiquement n’importe quelle extension de navigateur pourrait potentiellement servir de vecteur d’attaque si elle était créée ou reprise par un attaquant. À notre connaissance, les extensions soumises au Chrome Store demandant ces fonctionnalités ne font pas l’objet d’un contrôle de sécurité supplémentaire au moment de la rédaction de cet article.

L'attaque de syncjacking du navigateur peut être divisée en trois parties : comment l'extension ajoute silencieusement un profil géré par l'attaquant, détourne le navigateur et finit par obtenir le contrôle total de l'appareil.

Détournement de profil

L'attaque commence par l'installation par un employé d'une extension de navigateur - cela peut impliquer la publication d'une extension se faisant passer pour un outil d'IA ou la prise de contrôle d'extensions populaires existantes qui peuvent avoir jusqu'à des millions d'installations au total.

L'extension authentifie ensuite « silencieusement » la victime dans un profil Chrome géré par l'espace de travail Google de l'attaquant. Tout cela se fait de manière automatisée dans une fenêtre d'arrière-plan, ce qui rend l'ensemble du processus presque imperceptible pour la victime.

Une fois cette authentification effectuée, l'attaquant a un contrôle total sur le profil nouvellement géré dans le navigateur de la victime, ce qui lui permet d'appliquer des politiques automatisées telles que la désactivation de la navigation sécurisée et d'autres fonctionnalités de sécurité.

En utilisant une attaque d'ingénierie sociale très astucieuse qui exploite des domaines de confiance, l'adversaire peut ensuite intensifier l'attaque de piratage de profil pour voler les mots de passe du navigateur de la victime. Par exemple, l'extension malveillante peut ouvrir et modifier la page d'assistance officielle de Google sur la façon de synchroniser les comptes d'utilisateurs pour inciter la victime à effectuer la synchronisation en quelques clics.

Une fois le profil synchronisé, les attaquants ont un accès complet à toutes les informations d'identification et à l'historique de navigation stockés localement. Comme cette attaque n'exploite que des sites légitimes et ne présente aucun signe visible de modification par l'extension, elle ne déclenchera aucune alarme dans les solutions de sécurité surveillant le trafic réseau.

Prise de contrôle du navigateur

Pour parvenir à une prise de contrôle complète du navigateur, l'attaquant doit essentiellement convertir le navigateur Chrome de la victime en un navigateur géré.

La même extension surveille et intercepte un téléchargement légitime, comme une mise à jour de Zoom, et le remplace par l'exécutable de l'attaquant, qui contient un jeton d'inscription et une entrée de registre pour transformer le navigateur Chrome de la victime en un navigateur géré.

Pensant avoir téléchargé un programme de mise à jour Zoom, la victime exécute le fichier, qui finit par installer une entrée de registre qui indique au navigateur d'être géré par l'espace de travail Google de l'attaquant.

Cela permet à l'attaquant de prendre le contrôle total du navigateur de la victime pour désactiver les fonctions de sécurité, installer des extensions malveillantes supplémentaires, exfiltrer des données et même rediriger silencieusement les utilisateurs vers des sites de phishing. Cette attaque est extrêmement puissante car il n'y a aucune différence visuelle entre un navigateur géré et un navigateur non géré.

Pour un utilisateur régulier, il n’y a aucun signe révélateur qu’une élévation de privilèges s’est produite, à moins que la victime ne soit très consciente de la sécurité et ne fasse tout son possible pour inspecter régulièrement les paramètres de son navigateur et rechercher des associations avec un compte Google Workspace inconnu.

Détournement d'appareil

Avec le même fichier téléchargé ci-dessus, l'attaquant peut également insérer les entrées de registre requises pour que l'extension malveillante envoie des messages aux applications natives. Cela permet à l'extension d'interagir directement avec les applications locales sans autre authentification.

Une fois la connexion établie, les attaquants peuvent utiliser l'extension en conjonction avec le shell local et d'autres applications natives disponibles pour activer secrètement la caméra de l'appareil, capturer l'audio, enregistrer les écrans et installer des logiciels malveillants - offrant ainsi un accès complet à toutes les applications et données confidentielles de l'appareil.

L'attaque de syncjacking de navigateur révèle une faille fondamentale dans la manière dont les profils et les navigateurs gérés à distance sont gérés. Aujourd'hui, n'importe qui peut créer un compte d'espace de travail géré lié à un nouveau domaine et à une extension de navigateur sans aucune forme de vérification d'identité, ce qui rend impossible l'attribution de ces attaques.

Malheureusement, la plupart des entreprises n'ont actuellement aucune visibilité sur le navigateur : la plupart n'ont pas de navigateurs ou de profils gérés, ni aucune visibilité sur les extensions que les employés installent souvent en fonction des outils tendance et des recommandations des médias sociaux.

Ce qui rend cette attaque particulièrement dangereuse, c'est qu'elle fonctionne avec des autorisations minimales et presque aucune interaction de l'utilisateur, ne nécessitant qu'une étape subtile d'ingénierie sociale utilisant des sites Web de confiance - la rendant presque impossible à détecter pour les employés.

Si des incidents récents comme celui de Cyberhaven ont déjà compromis des centaines, voire des milliers d’entreprises, ces attaques ont nécessité une ingénierie sociale relativement complexe pour fonctionner. La nature extrêmement subtile de cette attaque (avec un seuil d’interaction utilisateur extrêmement bas) la rend non seulement extrêmement puissante, mais met également en lumière la possibilité terrifiante que des adversaires utilisent déjà cette technique pour compromettre les entreprises aujourd’hui.

À moins qu’une organisation ne choisisse de bloquer complètement les extensions de navigateur via des navigateurs gérés, l’attaque de syncjacking de navigateur contournera complètement les listes noires et les politiques basées sur les autorisations existantes.

Le fondateur de SquareX Vivek Ramachandran « Cette étude révèle un angle mort critique dans la sécurité des entreprises. Les outils de sécurité traditionnels ne peuvent tout simplement pas voir ou arrêter ces attaques sophistiquées basées sur le navigateur. Ce qui rend cette découverte particulièrement alarmante, c'est la façon dont elle transforme des extensions de navigateur apparemment innocentes en outils complets de prise de contrôle des appareils, tout en passant sous le radar des mesures de sécurité conventionnelles telles que les EDR et les passerelles Web sécurisées SASE/SSE. Une solution de détection et de réponse du navigateur n'est plus seulement une option, c'est une nécessité. Sans visibilité et contrôle au niveau du navigateur, les entreprises laissent essentiellement la porte d'entrée grande ouverte aux attaquants. Cette technique d'attaque démontre pourquoi la sécurité doit « se déplacer » là où les menaces se produisent réellement : dans le navigateur lui-même. »

SquareX a mené des recherches pionnières en matière de sécurité sur les extensions de navigateur, notamment lors de la conférence DEF CON 32 Extensions sournoises : les artistes de l'évasion MV3 qui a révélé plusieurs extensions malveillantes compatibles MV3.

Cette équipe de recherche a également été la première à découvrir et à divulguer la Attaque OAuth contre les développeurs d'extensions Chrome une semaine avant le Violation de sécurité de Cyberhaven SquareX a également été responsable de la découverte de Remontage du dernier kilomètre attaques, une nouvelle classe d'attaques côté client qui exploite les failles architecturales et contourne complètement toutes les solutions Secure Web Gateway.

Sur la base de cette recherche, la solution de détection et de réponse de navigateur de SquareX, une première dans l'industrie, protège les entreprises contre les attaques avancées basées sur des extensions, y compris les tentatives de piratage d'appareils, en effectuant une analyse dynamique de toutes les activités d'extension de navigateur au moment de l'exécution, en fournissant un score de risque à toutes les extensions actives dans l'entreprise et en identifiant davantage les attaques auxquelles elles peuvent être vulnérables.

Pour plus d'informations sur l'attaque de syncjacking du navigateur, des résultats supplémentaires de cette recherche sont disponibles à l'adresse suivante sqrx.com/recherche .

À propos de SquareX

CarréX aide les organisations à détecter, atténuer et traquer les attaques Web côté client qui se produisent contre leurs utilisateurs en temps réel.

La solution de détection et de réponse du navigateur (BDR) de SquareX, une première dans le secteur, adopte une approche axée sur les attaques en matière de sécurité du navigateur, garantissant aux utilisateurs d'entreprise une protection contre les menaces avancées telles que les codes QR malveillants, le phishing Browser-in-the-Browser, les logiciels malveillants basés sur des macros et d'autres attaques Web englobant des fichiers malveillants, des sites Web, des scripts et des réseaux compromis.

De plus, avec SquareX, les entreprises peuvent fournir aux sous-traitants et aux travailleurs à distance un accès sécurisé aux applications internes, au SaaS d'entreprise et convertir les navigateurs des appareils BYOD / non gérés en sessions de navigation fiables.