SquareX миллиондаған адамдарға қауіп төндіретін «браузерлерді синхрондау» жаңа шабуыл әдісін ашады.

PALO ALTO, АҚШ, 30 қаңтар, 2025 жыл/CyberNewsWire/--SquareX зиянды кеңейтімдерді браузерді, сайып келгенде, бүкіл құрылғыны толығымен ұрлау үшін қалай пайдалануға болатынын көрсететін жаңа шабуыл әдісін ашады.

Браузер кеңейтімдері жақында Chrome кеңейтімін әзірлеушілеріне жасалған OAuth шабуылдарының толқыны және деректерді эксфильтрациялау шабуылдары салдарынан кәсіпорынның қауіпсіздік жаңалықтарының назарында болды.

Дегенмен, осы уақытқа дейін браузер жеткізушілері кеңейтім ішкі жүйесі мен кеңейтімдерге қоятын шектеулерге байланысты кеңейтімдердің құрылғыны қоспағанда, браузерді толық басқаруы мүмкін емес деп есептелді.

SquareX зерттеушілер Дакшитаа Бабу, Арпит Гупта, Сункугари Теджесвара Редди және Панкадж Шарма пайдаланушылардың минималды әрекеттесуімен толық браузер мен құрылғыны басып алу үшін артықшылықтарды арттыру үшін зиянкестердің зиянды кеңейтімдерді қалай пайдалана алатынын көрсету арқылы бұл сенімді жоққа шығарды.

Ең маңыздысы, зиянды кеңейтім тек Chrome дүкеніндегі браузер кеңейтімдерінің көпшілігінде бар оқу/жазу мүмкіндіктерін, соның ішінде Grammarly, Calendly және Loom сияқты жалпы өнімділік құралдарын талап етеді, бұл пайдаланушыларды осы рұқсаттарды беруден бас тартады.

Бұл ашу іс жүзінде кез келген браузер кеңейтімі шабуылдаушы жасаған немесе қабылдаған жағдайда шабуыл векторы ретінде қызмет ете алатынын көрсетеді. Біздің түсінуімізше, Chrome Store дүкеніне осы мүмкіндіктерді сұрайтын кеңейтімдер осы жазбаны жазу кезінде қосымша қауіпсіздік тексеруінен өтпейді.

Браузерді синхрондау шабуылын үш бөлікке бөлуге болады: кеңейтім шабуылдаушы басқаратын профильді үнсіз қосады, браузерді ұрлайды және сайып келгенде құрылғыны толық бақылауға алады.

Профильді ұрлау

Шабуыл қызметкердің кез келген браузер кеңейтімін орнатуынан басталады - бұл AI құралы ретінде көрінетін біреуін жариялауды немесе жиынтықта миллиондаған орнатулары болуы мүмкін бар танымал кеңейтімдерді қабылдауды қамтуы мүмкін.

Содан кейін кеңейтім жәбірленушінің Google Workspace арқылы басқарылатын Chrome профиліне аутентификацияланады. Мұның бәрі фондық терезеде автоматтандырылған түрде жасалады, бұл бүкіл процесті жәбірленушіге дерлік сезінбейтін етеді.

Бұл аутентификация орындалғаннан кейін, шабуылдаушы жәбірленушінің браузеріндегі жаңадан басқарылатын профильді толық бақылауға алады, бұл оларға қауіпсіз шолуды және басқа қауіпсіздік мүмкіндіктерін өшіру сияқты автоматтандырылған саясаттарды енгізуге мүмкіндік береді.

Сенімді домендерді пайдаланатын өте ақылды әлеуметтік инженерлік шабуылды пайдалана отырып, қарсылас жәбірленушінің браузерінен құпия сөздерді ұрлау үшін профильді ұрлау шабуылын одан әрі күшейте алады. Мысалы, зиянды кеңейтім жәбірленушіге бірнеше рет басу арқылы синхрондауды орындауға шақыру үшін пайдаланушы тіркелгілерін синхрондауға қатысты Google-дың ресми қолдау көрсету бетін ашып, өзгерте алады.

Профиль синхрондалған соң, шабуылдаушылар жергілікті жерде сақталған барлық тіркелгі деректері мен шолу журналына толық қол жеткізе алады. Бұл шабуыл тек заңды сайттарды пайдаланатындықтан және оның кеңейтіммен өзгертілгені туралы көрінетін белгі болмағандықтан, ол желі трафигін бақылайтын кез келген қауіпсіздік шешімдерінде ешқандай дабыл қоңырауын тудырмайды.

Браузерді басып алу

Толық шолғышты басып алу үшін шабуылдаушы жәбірленушінің Chrome браузерін басқарылатын браузерге түрлендіруі керек.

Сол кеңейтім Zoom жаңартуы сияқты заңды жүктеп алуды бақылайды және тоқтатады және оны жәбірленушінің Chrome браузерін басқарылатын браузерге айналдыру үшін тіркеу таңбалауышы мен тізілім жазбасын қамтитын шабуылдаушының орындалатын файлымен ауыстырады.

Zoom жаңарту құралын жүктеп алды деп ойлап, жәбірленуші файлды орындайды, ол браузерге шабуылдаушының Google Workspace арқылы басқарылатынын нұсқайтын тізілім жазбасын орнатады.

Бұл шабуылдаушыға қауіпсіздік мүмкіндіктерін өшіру, қосымша зиянды кеңейтімдерді орнату, деректерді эксфильтрациялау және тіпті пайдаланушыларды фишинг сайттарына үнсіз қайта бағыттау үшін жәбірленушінің браузерін толық бақылауға мүмкіндік береді. Бұл шабуыл өте күшті, өйткені басқарылатын және басқарылмайтын браузер арасында көрнекі айырмашылық жоқ.

Жәбірленуші қауіпсіздік туралы жоғары хабардар болмаса және браузер параметрлерін жүйелі түрде тексеріп, бейтаныс Google Workspace тіркелгісімен байланыстарды іздемесе, кәдімгі пайдаланушы үшін артықшылықтың артуы орын алғанын көрсететін ешқандай белгі жоқ.

Құрылғыны ұрлау

Жоғарыда жүктелген бірдей файлмен шабуылдаушы зиянды кеңейтім үшін қажетті тізілім жазбаларын хабарламаның жергілікті қолданбаларына қосымша енгізе алады. Бұл кеңейтімге қосымша аутентификациясыз жергілікті қолданбалармен тікелей әрекеттесуге мүмкіндік береді.

Байланыс орнатылғаннан кейін шабуылдаушылар кеңейтімді жергілікті қабықпен және басқа қолжетімді жергілікті қолданбалармен бірге құрылғы камерасын жасырын қосу, дыбысты түсіру, экрандарды жазу және зиянды бағдарламалық құралды орнату үшін пайдалана алады, бұл негізінен барлық қолданбалар мен құпия деректерге толық қолжетімділікті қамтамасыз етеді. құрылғыда.

Браузерді синхрондау шабуылы қашықтан басқарылатын профильдер мен шолғыштарды басқарудың негізгі кемшілігін көрсетеді. Бүгінгі күні кез келген адам жаңа доменге және браузер кеңейтіміне байланысты басқарылатын жұмыс кеңістігінің тіркелгісін жеке басын куәландыратын растаудың кез келген нысанынсыз жасай алады, бұл шабуылдарды атрибуттау мүмкін емес.

Өкінішке орай, қазіргі уақытта кәсіпорындардың көпшілігінде браузерде нөлдік көріну мүмкіндігі бар - көпшілігінде басқарылатын браузерлер немесе профильдер жоқ, сондай-ақ тренд құралдары мен әлеуметтік медиа ұсыныстарына негізделген қызметкерлер жиі орнататын кеңейтімдерге ешқандай көрініс жоқ.

Бұл шабуылды ерекше қауіпті ететін нәрсе - ол минималды рұқсаттармен және пайдаланушының дерлік өзара әрекеттесуімен жұмыс істейді, бұл сенімді веб-сайттарды пайдалана отырып, әлеуметтік инженерлік қадамды ғана талап етеді, бұл қызметкерлердің анықтауын мүмкін емес етеді.

Cyberhaven бұзу сияқты соңғы оқиғалар жүздеген, тіпті мыңдаған ұйымдарға қауіп төндірсе де, бұл шабуылдар жұмыс істеу үшін салыстырмалы түрде күрделі әлеуметтік инженерияны қажет етті. Бұл шабуылдың жойқын нәзік табиғаты - пайдаланушының өзара әрекеттесуінің өте төмен шегі - бұл шабуылды өте күшті етіп қана қоймайды, сонымен қатар қарсыластар бұл әдісті бүгінде кәсіпорындарға ымыраға келу үшін пайдаланып жүрген қорқынышты мүмкіндікті ашады.

Ұйым басқарылатын браузерлер арқылы браузер кеңейтімдерін толығымен блоктауды таңдамаса, шолғышты синхрондау шабуылы бұрыннан бар қара тізімдер мен рұқсаттарға негізделген саясаттарды толығымен айналып өтеді.

SquareX негізін қалаушы Вивек Рамачандран «Бұл зерттеу кәсіпорын қауіпсіздігіндегі маңызды соқыр нүктені көрсетеді. Дәстүрлі қауіпсіздік құралдары бұл күрделі браузерге негізделген шабуылдарды көре алмайды немесе тоқтата алмайды. Бұл жаңалықты ерекше алаңдататын нәрсе, ол EDR және SASE/SSE Secure Web Gateways сияқты кәдімгі қауіпсіздік шараларының радары астында ұшқанда, құрылғыны толық басып алу құралдарына бір қарағанда кінәсіз болып көрінетін шолғыш кеңейтімдерін қаруландырады. Браузерді анықтау-жауап шешімі енді жай ғана опция емес - бұл қажеттілік. Браузер деңгейінде көріну және бақылау болмаса, ұйымдар өздерінің алдыңғы есігін шабуылдаушыларға ашық қалдырады. Бұл шабуыл әдісі қауіпсіздіктің неліктен қауіптер болып жатқан жерге: браузердің өзінде «ауысуы» керектігін көрсетеді.

SquareX браузер кеңейтімдері, соның ішінде DEF CON 32 талқылауы бойынша алғашқы қауіпсіздік зерттеулерін жүргізді Жасырын кеңейтімдер: MV3 Escape суретшілері бірнеше MV3 үйлесімді зиянды кеңейтімдерді анықтады.

Бұл зерттеу тобы да бірінші болып ашты және ашты Chrome кеңейтімін әзірлеушілерге OAuth шабуылы бір апта бұрын Cyberhaven бұзу . SquareX ашуға да жауапты болды Соңғы мильді қайта жинау шабуылдар, архитектуралық кемшіліктерді пайдаланатын және барлық Secure Web Gateway шешімдерін толығымен айналып өтетін клиенттік шабуылдардың жаңа класы.

Осы зерттеуге сүйене отырып, SquareX компаниясының индустриядағы бірінші шолғышты анықтау және жауап беру шешімі жұмыс уақытында браузер кеңейтімінің барлық әрекетіне динамикалық талдау жүргізіп, кәсіпорындағы барлық белсенді кеңейтімдерге тәуекел ұпайын бере отырып, құрылғыларды ұрлау әрекеттерін қоса кеңейтуге негізделген кеңейтілген шабуылдардан қорғайды. олар осал болуы мүмкін кез келген шабуылдарды одан әрі анықтау.

Браузерді синхрондау шабуылы туралы қосымша ақпаратты осы зерттеудің қосымша нәтижелері мына жерден алуға болады sqrx.com/research .

SquareX туралы

SquareX ұйымдарға нақты уақытта пайдаланушыларға қарсы орын алатын клиенттік веб-шабуылдарды анықтауға, азайтуға және қауіп-қатерді іздеуге көмектеседі.

SquareX компаниясының саладағы бірінші шолғышты анықтау және жауап беру (BDR) шешімі браузер қауіпсіздігіне шабуылға бағытталған тәсілді қолданады, кәсіпорын пайдаланушыларын зиянды QR кодтары, шолғыштағы браузер фишингі, макро негізіндегі зиянды бағдарлама және зиянды файлдарды, веб-сайттарды, сценарийлерді және бұзылған желілерді қамтитын басқа веб-шабуылдар.

Сонымен қатар, SquareX көмегімен кәсіпорындар мердігерлер мен қашықтағы жұмысшыларға ішкі қолданбаларға, кәсіпорынның SaaS жүйесіне қауіпсіз қол жеткізуді қамтамасыз ете алады және BYOD / басқарылмайтын құрылғылардағы браузерлерді сенімді шолу сеанстарына түрлендіре алады.

Байланыс

PR бөлімінің басшысы

Джунис Лью

SquareX

[email protected]