Sektörde bir ilk olan Tarayıcı Algılama ve Yanıt (BDR) çözümü olan SquareX, tarayıcı güvenliğinde öncülük ediyor. Yaklaşık bir hafta önce SquareX, Chrome Uzantısı geliştiricilerini hedef alan ve Chrome Uzantısını Chrome Mağazasından devralmayı amaçlayan büyük ölçekli saldırılar bildirmişti.
25 Aralık 2024’te, Cyberhaven’ın tarayıcı uzantısının, saldırganın kimliği doğrulanmış oturumları ele geçirmesine ve gizli bilgileri sızdırmasına olanak tanıyan kötü amaçlı bir sürümü Chrome Store’da yayınlandı.
Kötü amaçlı uzantı, Cyberhaven tarafından kaldırılmadan önce 30 saatten fazla bir süre indirilmeye açıktı. Veri kaybını önleme şirketi, basının kendisine ulaşması üzerine etkinin boyutu hakkında yorum yapmayı reddetti ancak saldırı sırasında uzantının Chrome Mağazasında 400.000’den fazla kullanıcısı vardı.
Ne yazık ki saldırı, SquareX araştırmacılarının Cyberhaven ihlalinden yalnızca bir hafta önce tüm saldırı yolunu gösteren bir videoyla benzer bir saldırı tespit etmesiyle gerçekleşti.
Saldırı, Chrome Mağazası’nın kimliğine bürünen, platformun “Geliştirici Anlaşması”nı ihlal ettiği varsayılan bir kimlik avı e-postasıyla başlıyor ve alıcıyı, uzantılarının Chrome Mağazası’ndan kaldırılmasını önlemek için politikaları kabul etmeye çağırıyor. Politika düğmesine tıklandığında, kullanıcıdan Google hesabını, saldırgana geliştiricinin hesabındaki uzantıları düzenleme, güncelleme ve yayınlama erişimi sağlayan bir “Gizlilik Politikası Uzantısı”na bağlaması istenir.
Uzantılar, saldırganların ilk erişim elde etmesinin giderek daha popüler bir yolu haline geldi. Bunun nedeni çoğu kuruluşun, çalışanlarının hangi tarayıcı uzantılarını kullandığı konusunda sınırlı yetkiye sahip olmasıdır. En sıkı güvenlik ekipleri bile genellikle bir uzantı beyaz listeye alındıktan sonra sonraki güncellemeleri izlemez.
SquareX araştırmacıları, DEFCON 32’de sundukları kapsamlı araştırmada, MV3 uyumlu Chrome uzantılarındaki kritik güvenlik açıklarına dikkat çekti.
Diğer kötü niyetli etkinliklerin yanı sıra, video akışı akışlarını ele geçirmek, sessizce yetkisiz GitHub ortak çalışanlarını eklemek ve oturum çerezlerini sızdırmak için bu tür uzantılardan nasıl yararlanılabileceğini gösterdiler.
Saldırganlar, kurulum sonrasında kötü amaçlı yeteneklerle güncellenen zararsız bir uzantı oluşturarak veya geliştiricilerini yetkisiz erişim verme konusunda kandırarak önemli kullanıcı tabanlarına sahip güvenilir uzantıları tehlikeye atarak bu güvenlik açığını silah haline getirebilirler.
Bu, saldırganların çeşitli web siteleri ve web uygulamalarında kurumsal kimlik bilgilerini çalmak için bir uzantının kötü amaçlı bir sürümünü kullandığı Cyberhaven ihlalinde özellikle görüldü.
Chrome Web Mağazası’nda listelenen, herkese açık geliştirici iletişim e-postaları sorunu daha da kötüleştiriyor. Genellikle hata raporları için tasarlanan bu e-postalar, saldırganların aynı anda çok sayıda uzantı geliştiricisini kolayca hedeflemesine olanak tanır.
Büyük kuruluşlarda bile destek e-postaları genellikle bu karmaşık sosyal mühendislik saldırılarını tanımak için gerekli güvenlik uzmanlığına sahip olmayan bireysel geliştiricilere yönlendirilir.
SquareX’in açıklamasına ve iki hafta içinde meydana gelen Cyberhaven ihlaline dayanarak, benzer saldırıların geniş ölçekte diğer tarayıcı uzantısı sağlayıcılarını hedef aldığını gösteren önemli kanıtlar var.
SquareX, kuruluşların ve kullanıcıların, tarayıcı uzantılarını yüklerken veya güncellerken çok dikkatli davranmalarını ve bu riskleri azaltmak için kapsamlı güvenlik incelemeleri yapmalarını şiddetle tavsiye eder.
SquareX ekibi, özellikle sıfır gün saldırıları söz konusu olduğunda, tüm rakip güvenlik öncelikleri arasında iş gücündeki her bir tarayıcı uzantısını değerlendirmenin ve izlemenin önemsiz olamayacağının farkındadır. Videoda gösterildiği gibi, Cyberhaven’ın ihlaline karışan sahte gizlilik politikası uygulaması, herhangi bir popüler tehdit akışı tarafından bile tespit edilmedi.
SquareX’in Tarayıcı Algılama ve Yanıt (BDR) çözümü, güvenlik ekiplerinin bu karmaşıklığını aşağıdaki yollarla ortadan kaldırır:
- Çalışanların yanlışlıkla saldırganlara Chrome Mağazası hesabınıza yetkisiz erişim sağlamasını önlemek için yetkisiz web siteleriyle OAuth etkileşimlerini engelleme
- Yeni, riskli izinler içeren şüpheli uzantı güncellemelerini engelleme ve/veya işaretleme
- Olumsuz yorumların arttığı şüpheli uzantıları engelleme ve/veya işaretleme
- Yandan yüklenen uzantıların kurulumlarının engellenmesi ve/veya işaretlenmesi
- Şirket politikasına dayalı olarak hızlı onay için yetkili liste dışındaki tüm uzantı kurulum taleplerini kolaylaştırın
- Kuruluş genelinde çalışanlar tarafından yüklenen ve kullanılan tüm uzantılarda tam görünürlük
SquareX’in kurucusu Vivek Ramachandran şu uyarıda bulunuyor: “Bu OAuth saldırısına benzer tarayıcı uzantılarını hedef alan kimlik saldırıları, çalışanların işyerinde üretken olmak için daha fazla tarayıcı tabanlı araçlara güvenmeleri nedeniyle daha yaygın hale gelecektir.
Bu saldırıların benzer çeşitleri geçmişte Google Drive ve One Drive gibi uygulamalardan bulut verilerini çalmak için kullanılmıştı ve saldırganların tarayıcı uzantılarından yararlanma konusunda daha yaratıcı olduklarını göreceğiz.
Şirketlerin dikkatli olmaları ve çalışanların üretkenliğini engellemeden, çalışanlarını doğru tarayıcı yerel araçlarıyla donatarak tedarik zinciri risklerini en aza indirmeleri gerekiyor.”
SquareX Hakkında:
SquareX, kuruluşların kullanıcılarına karşı gerçekleşen istemci tarafı web saldırılarını gerçek zamanlı olarak tespit etmesine, azaltmasına ve tehdit avlamasına yardımcı olur.
SquareX’in sektörde bir ilk olan Tarayıcı Tespit ve Yanıt (BDR) çözümü, tarayıcı güvenliğine saldırı odaklı bir yaklaşım getirerek kurumsal kullanıcıların kötü amaçlı QR Kodları, Tarayıcıdaki Tarayıcı kimlik avı, makro tabanlı kötü amaçlı yazılımlar gibi gelişmiş tehditlere karşı korunmasını sağlar. ve kötü amaçlı dosyaları, web sitelerini, komut dosyalarını ve güvenliği ihlal edilmiş ağları kapsayan diğer web saldırıları.
SquareX ile kuruluşlar, yüklenicilere ve uzak çalışanlara dahili uygulamalara ve kurumsal SaaS’a güvenli erişim sağlayabilir ve BYOD/yönetilmeyen cihazlardaki tarayıcıları güvenilir tarama oturumlarına dönüştürebilir.
Daha detaylı bilgi için iletişime geçebilirsiniz [email protected].