SquareX חושפת את "סינכרון דפדפן", טכניקת התקפה חדשה שמעמידה מיליונים בסיכון

PALO ALTO, ארה"ב, 30 בינואר 2025/CyberNewsWire/--SquareX חושפת טכניקת תקיפה חדשה שמראה כיצד ניתן להשתמש בהרחבות זדוניות כדי לחטוף לחלוטין את הדפדפן, ובסופו של דבר, את המכשיר כולו.

הרחבות דפדפן היו תחת אור הזרקורים בחדשות האבטחה הארגוניות לאחרונה עקב גל התקפות OAuth על מפתחי תוספים של Chrome והתקפות חילוץ נתונים.

עם זאת, עד כה, בשל המגבלות שמציבים ספקי הדפדפנים על תת-מערכת ההרחבות וההרחבות, חשבו שלא ייתכן שתוספים ישיגו שליטה מלאה בדפדפן, על אחת כמה וכמה על המכשיר.

SquareX החוקרים Dkshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy ו- Pankaj Sharma הפריכו את האמונה הזו כשהם הדגימו כיצד תוקפים יכולים להשתמש בהרחבות זדוניות כדי להסלים הרשאות כדי לבצע השתלטות מלאה על דפדפן ומכשיר, והכל עם אינטראקציה מינימלית של המשתמש.

באופן קריטי, התוסף הזדוני דורש רק יכולות קריאה/כתיבה הקיימות ברוב תוספי הדפדפן בחנות Chrome, כולל כלי פרודוקטיביות נפוצים כמו Grammarly, Calendly ו-Loom, המבטלים רגישות למשתמשים מלהעניק הרשאות אלה.

גילוי זה מצביע על כך שלמעשה כל הרחבת דפדפן עשויה לשמש כווקטור התקפה אם יוצר או משתלט על ידי תוקף. למיטב הבנתנו, הרחבות הנשלחות לחנות Chrome המבקשות את היכולות הללו אינן עוברות בדיקה אבטחה נוספת בזמן כתיבת שורות אלה.

ניתן לחלק את מתקפת סנכרון הדפדפן לשלושה חלקים: כיצד התוסף מוסיפה בשקט פרופיל המנוהל על ידי התוקף, חוטפת את הדפדפן ובסופו של דבר משיגה שליטה מלאה במכשיר.

חטיפת פרופיל

המתקפה מתחילה בכך שעובד מתקין כל תוסף לדפדפן - זה יכול להיות כרוך בפרסום אחד שמתחזה לכלי בינה מלאכותית או השתלטות על הרחבות פופולריות קיימות שעשויות להיות בהן עד מיליוני התקנות במצטבר.

לאחר מכן, התוסף מאמת "בשקט" את הקורבן לפרופיל Chrome המנוהל על ידי Google Workspace של התוקף. כל זה נעשה בצורה אוטומטית בחלון רקע, מה שהופך את התהליך כולו לכמעט בלתי מורגש לקורבן.

ברגע שאימות זה מתרחש, לתוקף יש שליטה מלאה על הפרופיל המנוהל החדש בדפדפן של הקורבן, מה שמאפשר לו לדחוף מדיניות אוטומטית כגון השבתת גלישה בטוחה ותכונות אבטחה אחרות.

באמצעות התקפת הנדסה חברתית חכמה מאוד המנצלת דומיינים מהימנים, היריב יכול להסלים עוד יותר את מתקפת חטיפת הפרופיל כדי לגנוב סיסמאות מהדפדפן של הקורבן. לדוגמה, התוסף הזדוני יכול לפתוח ולשנות את דף התמיכה הרשמי של גוגל כיצד לסנכרן חשבונות משתמש כדי להנחות את הקורבן לבצע את הסנכרון בכמה קליקים בלבד.

לאחר סנכרון הפרופיל, לתוקפים יש גישה מלאה לכל האישורים והיסטוריית הגלישה המאוחסנים באופן מקומי. מכיוון שמתקפה זו ממנפת רק אתרים לגיטימיים ואין לה סימן גלוי לכך שהיא שונתה על ידי התוסף, היא לא תפעיל פעמוני אזעקה בשום פתרונות אבטחה המנטרים את תעבורת הרשת.

השתלטות על דפדפן

כדי להשיג השתלטות מלאה על הדפדפן, התוקף צריך בעצם להמיר את דפדפן הכרום של הקורבן לדפדפן מנוהל.

אותה הרחבה עוקבת ומיירטת הורדה לגיטימית, כמו עדכון זום, ומחליפה אותה בקובץ ההפעלה של התוקף, המכיל אסימון הרשמה ורשומת רישום כדי להפוך את דפדפן הכרום של הקורבן לדפדפן מנוהל.

מתוך מחשבה שהם הורידו עדכון Zoom, הקורבן מבצע את הקובץ, שבסופו של דבר מתקין ערך רישום המורה לדפדפן להיות מנוהל על ידי Google Workspace של התוקף.

זה מאפשר לתוקף להשיג שליטה מלאה על הדפדפן של הקורבן כדי להשבית את תכונות האבטחה, להתקין הרחבות זדוניות נוספות, לסנן נתונים ואפילו להפנות את המשתמשים לאתרי פישינג בשקט. התקפה זו היא חזקה ביותר מכיוון שאין הבדל ויזואלי בין דפדפן מנוהל ללא מנוהל.

עבור משתמש רגיל, אין סימן מובהק שהתרחשה הסלמה של הרשאות אלא אם הקורבן מודע מאוד לאבטחה ויוצא מגדרו כדי לבדוק באופן קבוע את הגדרות הדפדפן שלו ולחפש קשרים עם חשבון Google Workspace לא מוכר.

חטיפת מכשיר

עם אותו קובץ שהורד למעלה, התוקף יכול להוסיף בנוסף ערכי רישום הנדרשים עבור התוסף הזדוני כדי לשלוח הודעות לאפליקציות מקוריות. זה מאפשר לתוסף ליצור אינטראקציה ישירה עם אפליקציות מקומיות ללא אימות נוסף.

לאחר יצירת החיבור, התוקפים יכולים להשתמש בתוסף בשילוב עם המעטפת המקומית ויישומים מקוריים זמינים אחרים כדי להפעיל בסתר את מצלמת המכשיר, ללכוד אודיו, להקליט מסכים ולהתקין תוכנה זדונית - בעצם מספקת גישה מלאה לכל היישומים והנתונים הסודיים. על המכשיר.

מתקפת סנכרון הדפדפן חושפת פגם מהותי באופן הניהול של פרופילים ודפדפנים המנוהלים מרחוק. כיום, כל אחד יכול ליצור חשבון סביבת עבודה מנוהלת הקשור לדומיין חדש וסיומת דפדפן ללא כל צורה של אימות זהות, מה שלא מאפשר לייחס את ההתקפות הללו.

למרבה הצער, לרוב הארגונים יש כרגע אפס נראות לדפדפן - לרובם אין דפדפנים או פרופילים מנוהלים, וגם לא נראות לתוספים שעובדים מתקינים לעתים קרובות על סמך כלים פופולריים והמלצות על מדיה חברתית.

מה שהופך את ההתקפה הזו למסוכנת במיוחד היא שהיא פועלת עם הרשאות מינימליות וכמעט ללא אינטראקציה של משתמשים, ודורשת רק שלב הנדסה חברתית עדינה באמצעות אתרים מהימנים - מה שהופך את זה כמעט בלתי אפשרי לעובדים לזהות.

בעוד שהתקריות האחרונות כמו הפרת Cyberhaven כבר סיכנו מאות, אם לא אלפי ארגונים, התקפות אלו דרשו הנדסה חברתית מורכבת יחסית כדי לפעול. האופי העדין ההרסני של המתקפה הזו - עם סף נמוך במיוחד של אינטראקציה עם משתמשים - לא רק הופך את ההתקפה הזו לחזקה ביותר, אלא גם שופך אור על האפשרות המפחידה שיריבים כבר משתמשים בטכניקה הזו כדי לסכן ארגונים כיום.

אלא אם ארגון בוחר לחסום לחלוטין הרחבות דפדפן באמצעות דפדפנים מנוהלים, התקפת סנכרון הדפדפן תעקוף לחלוטין רשימות שחורות קיימות ומדיניות מבוססת הרשאות.

המייסד של SquareX Vivek Ramachandran אומר "המחקר הזה חושף נקודה עיוורת קריטית באבטחה ארגונית. כלי אבטחה מסורתיים פשוט לא יכולים לראות או לעצור את ההתקפות המתוחכמות הללו מבוססות דפדפן. מה שהופך את התגלית הזו למדאיגה במיוחד הוא האופן שבו היא מנשקת תוספי דפדפן תמימים לכאורה לכלים שלמים להשתלטות על מכשירים, והכל תוך כדי טיסה מתחת לרדאר של אמצעי אבטחה קונבנציונליים כמו EDRs ו-SASE/SSE Secure Web Gateways. פתרון דפדפן איתור-תגובה הוא כבר לא רק אופציה - הוא הכרחי. ללא נראות ושליטה ברמת הדפדפן, ארגונים בעצם משאירים את דלת הכניסה שלהם פתוחה לרווחה לתוקפים. טכניקת התקפה זו מדגימה מדוע האבטחה צריכה 'להתקדם' למקום שבו האיומים מתרחשים בפועל: בדפדפן עצמו."

SquareX ביצעה מחקר אבטחה חלוצי על הרחבות דפדפן, כולל הרצאת DEF CON 32 הרחבות ערמומיות: אמני הבריחה של MV3 שחשף מספר הרחבות זדוניות תואמות MV3.

צוות המחקר הזה היה גם הראשון שגילה וחשף את התקפת OAuth על מפתחי תוספים של Chrome שבוע לפני ה הפרת Cyberhaven . SquareX הייתה אחראית גם לגילוי של הרכבה מחדש של המייל האחרון התקפות, סוג חדש של התקפות בצד הלקוח המנצל פגמים ארכיטקטוניים ועוקף לחלוטין את כל פתרונות Secure Web Gateway.

בהתבסס על מחקר זה, פתרון זיהוי הדפדפן הראשון בתעשייה של SquareX מגן על ארגונים מפני התקפות מתקדמות מבוססות תוספים, כולל ניסיונות חטיפת מכשירים על ידי ביצוע ניתוח דינמי על כל פעילות תוספי הדפדפן בזמן ריצה, ומספק ציון סיכון לכל ההרחבות הפעילות ברחבי הארגון. זיהוי נוסף של כל התקפות שהם עלולים להיות פגיעים אליהם.

למידע נוסף על מתקפת סנכרון הדפדפן, ממצאים נוספים ממחקר זה זמינים בכתובת sqrx.com/research .

על SquareX

SquareX עוזר לארגונים לזהות, להפחית ולצוד איומים התקפות אינטרנט בצד הלקוח המתרחשות נגד המשתמשים שלהם בזמן אמת.

הפתרון הראשון בתעשייה לזיהוי ותגובה של דפדפן (BDR), נוקט בגישה ממוקדת התקפה לאבטחת דפדפן, ומבטיח שמשתמשים ארגוניים מוגנים מפני איומים מתקדמים כמו קודי QR זדוניים, דיוג בדפדפן בדפדפן, תוכנות זדוניות מבוססות מאקרו התקפות אינטרנט אחרות הכוללות קבצים זדוניים, אתרי אינטרנט, סקריפטים ורשתות שנפגעו.

בנוסף, עם SquareX, ארגונים יכולים לספק לקבלנים ולעובדים מרוחקים גישה מאובטחת ליישומים פנימיים, SaaS ארגוני, ולהמיר את הדפדפנים במכשירי BYOD / לא מנוהלים להפעלות גלישה מהימנות.

מַגָע

ראש מחלקת יחסי ציבור

ג'וניס ליאו

SquareX

[email protected]