SquareX onthult ‘Browser Syncjacking’, een nieuwe aanvalstechniek die miljoenen mensen in gevaar brengt door@cybernewswire
Nieuwe geschiedenis
SquareX onthult ‘Browser Syncjacking’, een nieuwe aanvalstechniek die miljoenen mensen in gevaar brengt
Te lang; Lezen
SquareX onthult een nieuwe aanvalstechniek die laat zien hoe kwaadaardige extensies kunnen worden gebruikt om de browser en uiteindelijk het hele apparaat volledig te kapen. De aanval begint met een werknemer die een browserextensie installeert. De extensie authenticeert het slachtoffer vervolgens 'in stilte' in een Chrome-profiel dat wordt beheerd door de Google Workspace van de aanvaller.
PALO ALTO, VS, 30 januari 2025/CyberNewsWire/--SquareX maakt een nieuwe aanvalstechniek bekend die laat zien hoe kwaadaardige extensies kunnen worden gebruikt om de browser en uiteindelijk het hele apparaat te kapen.
Browserextensies zijn de laatste tijd veel in het nieuws over beveiliging voor ondernemingen gekomen vanwege de golf van OAuth-aanvallen op ontwikkelaars van Chrome-extensies en aanvallen op gegevensonderschepping.
Tot nu toe werd echter gedacht dat het onmogelijk zou zijn voor extensies om volledige controle over de browser te krijgen, laat staan over het apparaat, vanwege de beperkingen die browserleveranciers opleggen aan het extensiesubsysteem en extensies.
Belangrijk is dat de schadelijke extensie alleen lees-/schrijfmogelijkheden nodig heeft die aanwezig zijn in de meeste browserextensies in de Chrome Store, waaronder veelgebruikte productiviteitshulpmiddelen zoals Grammarly, Calendly en Loom. Hierdoor zijn gebruikers minder gevoelig voor het verlenen van deze machtigingen.
Deze onthulling suggereert dat vrijwel elke browserextensie potentieel kan dienen als aanvalsvector als deze wordt gemaakt of overgenomen door een aanvaller. Voor zover wij weten, worden extensies die bij de Chrome Store worden ingediend en die deze mogelijkheden aanvragen, op het moment van schrijven niet onderworpen aan extra beveiligingscontrole.
De browser syncjacking-aanval kan worden opgesplitst in drie delen: de extensie voegt stilletjes een profiel toe dat door de aanvaller wordt beheerd, kaapt de browser en krijgt uiteindelijk volledige controle over het apparaat.
Profielkaping
De aanval begint met een werknemer die een browserextensie installeert. Dit kan inhouden dat er een extensie wordt gepubliceerd die zich voordoet als een AI-tool, maar ook dat bestaande populaire extensies worden overgenomen die in totaal miljoenen installaties hebben.
De extensie authenticeert het slachtoffer vervolgens 'stil' in een Chrome-profiel dat wordt beheerd door de Google Workspace van de aanvaller. Dit gebeurt allemaal op een geautomatiseerde manier in een achtergrondvenster, waardoor het hele proces bijna onmerkbaar is voor het slachtoffer.
Zodra deze authenticatie heeft plaatsgevonden, heeft de aanvaller volledige controle over het nieuw beheerde profiel in de browser van het slachtoffer. Hierdoor kan hij geautomatiseerde beleidsregels doorvoeren, zoals het uitschakelen van veilig browsen en andere beveiligingsfuncties.
Met behulp van een zeer slimme social engineering-aanval die vertrouwde domeinen misbruikt, kan de tegenstander de profielkaping-aanval verder escaleren om wachtwoorden van de browser van het slachtoffer te stelen. De kwaadaardige extensie kan bijvoorbeeld de officiële ondersteuningspagina van Google openen en wijzigen over hoe gebruikersaccounts te synchroniseren om het slachtoffer ertoe aan te zetten de synchronisatie uit te voeren met slechts een paar klikken.
Zodra het profiel is gesynchroniseerd, hebben aanvallers volledige toegang tot alle inloggegevens en browsegeschiedenis die lokaal zijn opgeslagen. Omdat deze aanval alleen legitieme sites gebruikt en er geen zichtbaar teken is dat het is gewijzigd door de extensie, zal het geen alarmbellen doen afgaan in beveiligingsoplossingen die het netwerkverkeer bewaken.
Browser-overname
Om de volledige browserovername te realiseren, moet de aanvaller de Chrome-browser van het slachtoffer omzetten in een beheerde browser.
Dezelfde extensie controleert en onderschept een legitieme download, zoals een Zoom-update, en vervangt deze door het uitvoerbare bestand van de aanvaller, dat een inschrijvingstoken en een registervermelding bevat om de Chrome-browser van het slachtoffer om te zetten in een beheerde browser.
Denkend dat ze een Zoom-updater hebben gedownload, voert het slachtoffer het bestand uit. Hierdoor wordt er een registervermelding geïnstalleerd die de browser instrueert om beheerd te worden door de Google Workspace van de aanvaller.
Hierdoor kan de aanvaller volledige controle krijgen over de browser van het slachtoffer om beveiligingsfuncties uit te schakelen, extra schadelijke extensies te installeren, gegevens te exfiltreren en zelfs gebruikers stilletjes om te leiden naar phishingsites. Deze aanval is extreem krachtig omdat er geen visueel verschil is tussen een beheerde en onbeheerde browser.
Voor een gewone gebruiker is er geen teken dat er sprake is van een privilege-escalatie, tenzij het slachtoffer zeer beveiligingsbewust is en regelmatig de browserinstellingen controleert op koppelingen met een onbekend Google Workspace-account.
Apparaatkaping
Met hetzelfde gedownloade bestand hierboven kan de aanvaller bovendien registervermeldingen invoegen die nodig zijn voor de kwaadaardige extensie om native apps te berichten. Hierdoor kan de extensie rechtstreeks communiceren met lokale apps zonder verdere authenticatie.
Zodra de verbinding tot stand is gebracht, kunnen aanvallers de extensie gebruiken in combinatie met de lokale shell en andere beschikbare native applicaties om stiekem de camera van het apparaat in te schakelen, audio op te nemen, schermen op te nemen en schadelijke software te installeren. Zo krijgen ze in feite volledige toegang tot alle applicaties en vertrouwelijke gegevens op het apparaat.
De browser syncjacking-aanval legt een fundamenteel gebrek bloot in de manier waarop op afstand beheerde profielen en browsers worden beheerd. Tegenwoordig kan iedereen een beheerd werkruimteaccount maken dat is gekoppeld aan een nieuw domein en een browserextensie zonder enige vorm van identiteitsverificatie, waardoor het onmogelijk is om deze aanvallen toe te schrijven.
Helaas hebben de meeste ondernemingen momenteel geen enkel inzicht in de browser. Ze hebben vaak geen beheerde browsers of profielen en ook geen inzicht in de extensies die werknemers installeren, vaak op basis van trending tools en aanbevelingen op sociale media.
Wat deze aanval zo gevaarlijk maakt, is dat deze met minimale machtigingen en vrijwel geen gebruikersinteractie wordt uitgevoerd. Er is alleen een subtiele social engineering-stap nodig via vertrouwde websites. Hierdoor is de aanval voor werknemers vrijwel onmogelijk te detecteren.
Hoewel recente incidenten zoals de Cyberhaven-inbreuk al honderden, zo niet duizenden organisaties hebben gecompromitteerd, vereisten die aanvallen relatief complexe social engineering om te kunnen werken. De verwoestend subtiele aard van deze aanval - met een extreem lage drempel voor gebruikersinteractie - maakt deze aanval niet alleen extreem krachtig, maar werpt ook licht op de angstaanjagende mogelijkheid dat tegenstanders deze techniek al gebruiken om ondernemingen vandaag de dag te compromitteren.
Tenzij een organisatie ervoor kiest om browserextensies volledig te blokkeren via beheerde browsers, zal de browser syncjacking-aanval bestaande zwarte lijsten en op machtigingen gebaseerde beleidsregels volledig omzeilen.
De oprichter van SquareX
Vivek Ramachandran zegt: "Dit onderzoek legt een kritieke blinde vlek bloot in de beveiliging van ondernemingen. Traditionele beveiligingstools kunnen deze geavanceerde browsergebaseerde aanvallen gewoonweg niet zien of stoppen. Wat deze ontdekking bijzonder alarmerend maakt, is hoe het schijnbaar onschuldige browserextensies omvormt tot complete apparaatovernametools, terwijl het onder de radar van conventionele beveiligingsmaatregelen zoals EDR's en SASE/SSE Secure Web Gateways vliegt. Een Browser Detection-Response-oplossing is niet langer alleen een optie - het is een noodzaak. Zonder zichtbaarheid en controle op browserniveau laten organisaties hun voordeur in feite wagenwijd openstaan voor aanvallers. Deze aanvalstechniek laat zien waarom beveiliging 'moet worden opgeschoven' naar waar de bedreigingen zich daadwerkelijk voordoen: in de browser zelf."
SquareX heeft baanbrekend beveiligingsonderzoek gedaan naar browserextensies, waaronder de DEF CON 32-lezing
Dit onderzoeksteam was ook het eerste dat de
Op basis van dit onderzoek beschermt SquareX's Browser Detection and Response-oplossing, de eerste in de branche, ondernemingen tegen geavanceerde aanvallen op basis van extensies, waaronder pogingen tot apparaatkaping, door dynamische analyses uit te voeren op alle browserextensie-activiteit tijdens runtime. Hierdoor wordt een risicoscore gegeven aan alle actieve extensies in de onderneming en worden eventuele aanvallen waarvoor deze kwetsbaar zijn, verder geïdentificeerd.
Voor meer informatie over de browser syncjacking-aanval zijn aanvullende bevindingen uit dit onderzoek beschikbaar op
Over SquareX
De Browser Detection and Response (BDR)-oplossing van SquareX is de eerste in de branche en richt zich op browserbeveiliging met een aanvalsgerichte aanpak. Zo worden zakelijke gebruikers beschermd tegen geavanceerde bedreigingen, zoals schadelijke QR-codes, browser-in-de-browser-phishing, macrogebaseerde malware en andere webaanvallen die zich richten op schadelijke bestanden, websites, scripts en gecompromitteerde netwerken.
Bovendien kunnen ondernemingen met SquareX hun contractanten en externe werknemers veilige toegang bieden tot interne applicaties, enterprise SaaS en de browsers op BYOD/onbeheerde apparaten omzetten in vertrouwde browsersessies.
Contact
Hoofd PR
Juni Liew
VierkantX
Dit verhaal werd verspreid als een release door Cybernewswire onder het Business Blogging Program van HackerNoon. Meer informatie over het programma
L O A D I N G
. . . comments & more!
. . . comments & more!
