SquareX, Milyonlarca Kişiyi Tehlikeye Sokan Yeni Bir Saldırı Tekniği Olan "Tarayıcı Senkronizasyon Saldırısı"nı Açıkladı

PALO ALTO, ABD, 30 Ocak 2025/CyberNewsWire/--SquareX, kötü amaçlı uzantıların tarayıcıyı ve sonunda tüm cihazı tamamen ele geçirmek için nasıl kullanılabileceğini gösteren yeni bir saldırı tekniğini ifşa ediyor.

Chrome eklenti geliştiricilerine yönelik OAuth saldırıları ve veri sızdırma saldırıları nedeniyle son zamanlarda tarayıcı eklentileri kurumsal güvenlik haberlerinin ilgi odağı haline geldi.

Ancak şimdiye kadar, tarayıcı satıcılarının uzantı alt sistemi ve uzantılar üzerinde koyduğu sınırlamalar nedeniyle, uzantıların tarayıcının, hatta cihazın tam kontrolünü ele geçirmesinin imkansız olduğu düşünülüyordu.

KareX Araştırmacılar Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy ve Pankaj Sharma, saldırganların kötü amaçlı uzantıları kullanarak, minimum kullanıcı etkileşimiyle tam bir tarayıcı ve cihaz ele geçirmesi gerçekleştirmek için ayrıcalıkları nasıl artırabileceğini göstererek bu inancı çürüttüler.

Kritik olarak, kötü amaçlı uzantı yalnızca Chrome Mağazası'ndaki tarayıcı uzantılarının çoğunda bulunan okuma/yazma yeteneklerine ihtiyaç duyuyor. Bunlara Grammarly, Calendly ve Loom gibi yaygın üretkenlik araçları da dahil. Bu da kullanıcıları bu izinleri vermekten alıkoyuyor.

Bu ifşa, bir saldırgan tarafından oluşturulduğunda veya ele geçirildiğinde hemen hemen her tarayıcı uzantısının potansiyel olarak bir saldırı vektörü olarak hizmet edebileceğini öne sürüyor. Anladığımız kadarıyla, bu yetenekleri talep ederek Chrome Mağazası'na gönderilen uzantılar, bu yazının yazıldığı tarihte ek güvenlik incelemesinden geçirilmiyor.

Tarayıcı senkronizasyon saldırısı üç bölüme ayrılabilir: uzantının saldırgan tarafından yönetilen bir profili sessizce eklemesi, tarayıcıyı ele geçirmesi ve sonunda cihazın tam kontrolünü ele geçirmesi.

Profil Gaspı

Saldırı, bir çalışanın herhangi bir tarayıcı eklentisini yüklemesiyle başlıyor. Bu, yapay zeka aracı gibi görünen bir eklentinin yayınlanmasını veya toplamda milyonlarca yüklemeye sahip olabilecek mevcut popüler eklentilerin ele geçirilmesini içerebilir.

Uzantı daha sonra kurbanı saldırganın Google Workspace'i tarafından yönetilen bir Chrome profilinde "sessizce" doğrular. Tüm bunlar otomatik bir şekilde arka plandaki bir pencerede yapılır ve bu da tüm süreci kurban için neredeyse fark edilemez hale getirir.

Bu kimlik doğrulama gerçekleştiğinde, saldırgan kurbanın tarayıcısındaki yeni yönetilen profil üzerinde tam kontrole sahip olur ve güvenli tarama ve diğer güvenlik özelliklerini devre dışı bırakma gibi otomatik politikaları zorlayabilir.

Güvenilir etki alanlarını istismar eden çok akıllı bir sosyal mühendislik saldırısı kullanarak saldırgan, profil ele geçirme saldırısını daha da tırmandırarak kurbanın tarayıcısından parolaları çalabilir. Örneğin, kötü amaçlı uzantı, kurbanın sadece birkaç tıklamayla senkronizasyonu gerçekleştirmesini istemek için kullanıcı hesaplarının nasıl senkronize edileceğine dair Google'ın resmi destek sayfasını açabilir ve değiştirebilir.

Profil senkronize edildikten sonra saldırganlar yerel olarak depolanan tüm kimlik bilgilerine ve tarama geçmişine tam erişime sahip olur. Bu saldırı yalnızca meşru siteleri kullandığı ve uzantı tarafından değiştirildiğine dair görünür bir işaret olmadığı için ağ trafiğini izleyen herhangi bir güvenlik çözümünde alarm zillerini tetiklemeyecektir.

Tarayıcı Devralma

Saldırganın tarayıcıyı tamamen ele geçirebilmesi için esasen kurbanın Chrome tarayıcısını yönetilen tarayıcıya dönüştürmesi gerekiyor.

Aynı uzantı, Zoom güncellemesi gibi meşru bir indirmeyi izliyor ve engelliyor ve bunu, kurbanın Chrome tarayıcısını yönetilen bir tarayıcıya dönüştürmek için bir kayıt belirteci ve kayıt defteri girişi içeren saldırganın yürütülebilir dosyasıyla değiştiriyor.

Kurban, bir Zoom güncellemesi indirdiğini düşünerek dosyayı çalıştırıyor ve bu da tarayıcının saldırganın Google Workspace tarafından yönetilmesini sağlayan bir kayıt defteri girdisinin yüklenmesine neden oluyor.

Bu, saldırganın güvenlik özelliklerini devre dışı bırakmak, ek kötü amaçlı uzantılar yüklemek, verileri sızdırmak ve hatta kullanıcıları sessizce kimlik avı sitelerine yönlendirmek için kurbanın tarayıcısı üzerinde tam kontrol elde etmesini sağlar. Yönetilen ve yönetilmeyen tarayıcı arasında görsel bir fark olmadığından bu saldırı son derece güçlüdür.

Sıradan bir kullanıcı için, mağdurun güvenlik konusunda son derece bilinçli olması ve tarayıcı ayarlarını düzenli olarak denetlemesi ve bilmediği bir Google Workspace hesabıyla bağlantıları araması dışında ayrıcalık yükseltmesinin gerçekleştiğine dair belirgin bir işaret yoktur.

Cihaz Kaçırma

Saldırgan, yukarıda indirilen aynı dosyayla, kötü amaçlı uzantının yerel uygulamalara mesaj göndermesi için gereken kayıt defteri girdilerini de ekleyebilir. Bu, uzantının daha fazla kimlik doğrulaması olmadan doğrudan yerel uygulamalarla etkileşime girmesine olanak tanır.

Bağlantı kurulduktan sonra saldırganlar, uzantıyı yerel kabuk ve diğer mevcut yerel uygulamalarla birlikte kullanarak cihaz kamerasını gizlice açabilir, ses kaydı alabilir, ekran kaydı yapabilir ve kötü amaçlı yazılım yükleyebilir; temelde cihaz üzerindeki tüm uygulamalara ve gizli verilere tam erişim sağlayabilirler.

Tarayıcı senkronizasyon saldırısı, uzaktan yönetilen profillerin ve tarayıcıların yönetilme biçimindeki temel bir kusuru ortaya çıkarır. Bugün, herhangi biri herhangi bir kimlik doğrulaması biçimi olmadan yeni bir etki alanına ve bir tarayıcı uzantısına bağlı yönetilen bir çalışma alanı hesabı oluşturabilir ve bu saldırıları atfetmeyi imkansız hale getirir.

Ne yazık ki, çoğu işletmenin şu anda tarayıcıya ilişkin hiçbir görünürlüğü yok; çoğunun yönetilen tarayıcıları veya profilleri yok, ayrıca çalışanların genellikle trend olan araçlara ve sosyal medya önerilerine dayanarak yüklediği uzantılara ilişkin hiçbir görünürlükleri de yok.

Bu saldırıyı özellikle tehlikeli kılan şey, minimum izinlerle ve neredeyse hiç kullanıcı etkileşimi olmadan çalışması, yalnızca güvenilir web sitelerini kullanarak yapılan ince bir sosyal mühendislik adımı gerektirmesi ve bu sayede çalışanların tespit etmesinin neredeyse imkansız olmasıdır.

Cyberhaven ihlali gibi son olaylar halihazırda yüzlerce, hatta binlerce kuruluşu tehlikeye atmış olsa da, bu saldırıların çalışması için nispeten karmaşık bir sosyal mühendislik gerekiyordu. Bu saldırının yıkıcı derecede incelikli doğası - son derece düşük bir kullanıcı etkileşimi eşiğiyle - bu saldırıyı yalnızca son derece güçlü kılmakla kalmıyor, aynı zamanda saldırganların bugün işletmeleri tehlikeye atmak için bu tekniği zaten kullanıyor olma ihtimaline de ışık tutuyor.

Bir kuruluş, yönetilen tarayıcılar aracılığıyla tarayıcı uzantılarını tamamen engellemeyi seçmediği sürece, tarayıcı senkronizasyon saldırısı mevcut kara listeleri ve izin tabanlı politikaları tamamen atlatacaktır.

SquareX'in kurucusu Vivek Ramachandran “Bu araştırma, kurumsal güvenlikte kritik bir kör noktayı açığa çıkarıyor. Geleneksel güvenlik araçları, bu karmaşık tarayıcı tabanlı saldırıları göremiyor veya durduramıyor. Bu keşfi özellikle endişe verici yapan şey, EDR'ler ve SASE/SSE Güvenli Web Ağ Geçitleri gibi geleneksel güvenlik önlemlerinin radarının altında uçarken, görünüşte masum tarayıcı uzantılarını nasıl tam cihaz ele geçirme araçlarına dönüştürdüğüdür. Bir Tarayıcı Algılama-Yanıt çözümü artık sadece bir seçenek değil, bir zorunluluktur. Tarayıcı düzeyinde görünürlük ve kontrol olmadan, kuruluşlar esasen saldırganlara ön kapılarını sonuna kadar açık bırakıyorlar. Bu saldırı tekniği, güvenliğin neden tehditlerin gerçekte gerçekleştiği yere, yani tarayıcının kendisine 'kayması' gerektiğini gösteriyor.”

SquareX, DEF CON 32 konuşması da dahil olmak üzere tarayıcı uzantıları üzerinde öncü güvenlik araştırmaları yürütüyor Gizli Uzantılar: MV3 Kaçış Sanatçıları birden fazla MV3 uyumlu kötü amaçlı uzantıyı ortaya çıkardı.

Bu araştırma ekibi aynı zamanda bunu keşfeden ve açıklayan ilk ekipti. Chrome eklenti geliştiricilerine OAuth saldırısı bir hafta önce Cyberhaven ihlali SquareX ayrıca şu keşfin de sorumlusuydu: Son Mil Yeniden Montajı saldırıları, mimari kusurları istismar eden ve tüm Güvenli Web Ağ Geçidi çözümlerini tamamen atlatan yeni bir istemci tarafı saldırı sınıfıdır.

Bu araştırmaya dayanarak, SquareX'in sektörde bir ilk olan Tarayıcı Algılama ve Yanıt çözümü, çalışma zamanında tüm tarayıcı uzantısı etkinliği üzerinde dinamik analiz gerçekleştirerek, kuruluş genelindeki tüm etkin uzantılara bir risk puanı sağlayarak ve bunların savunmasız olabileceği saldırıları daha da belirleyerek, cihaz ele geçirme girişimleri de dahil olmak üzere gelişmiş uzantı tabanlı saldırılara karşı kuruluşları korur.

Tarayıcı senkronizasyon saldırısı hakkında daha fazla bilgi için bu araştırmadan elde edilen ek bulgulara şu adresten ulaşılabilir: sqrx.com/araştırma .

SquareX Hakkında

KareX kuruluşların kullanıcılarına karşı gerçekleşen istemci taraflı web saldırılarını gerçek zamanlı olarak tespit etmelerine, azaltmalarına ve tehdit avlamalarına yardımcı olur.

SquareX'in sektörde bir ilk olan Tarayıcı Algılama ve Yanıt (BDR) çözümü, tarayıcı güvenliğine saldırı odaklı bir yaklaşım benimseyerek kurumsal kullanıcıların kötü amaçlı QR Kodları, Tarayıcı İçinde Tarayıcı kimlik avı, makro tabanlı kötü amaçlı yazılımlar ve kötü amaçlı dosyaları, web sitelerini, komut dosyalarını ve tehlikeye atılmış ağları kapsayan diğer web saldırıları gibi gelişmiş tehditlere karşı korunmasını sağlar.

Ayrıca, SquareX ile işletmeler, yüklenicilere ve uzaktan çalışanlara dahili uygulamalara, kurumsal SaaS'a güvenli erişim sağlayabilir ve BYOD/yönetilmeyen cihazlardaki tarayıcıları güvenilir tarama oturumlarına dönüştürebilir.

Temas etmek

Halkla İlişkiler Başkanı

Junice Liew

KareX

[email protected]