Imperva’daki araştırmacılar, Google’ın Chrome ve Chromium tabanlı tarayıcılarındaki potansiyel olarak tehlikeli bir güvenlik açığını ortaya çıkarmak ve düzeltmek için ellerinden geleni yaptılar.
CVE-2022-3656 olarak izlenen güvenlik açığı ilk olarak 2022’de Imperva’nın tarayıcının dosya sistemiyle nasıl etkileşime girdiğini, özellikle de tarayıcıların simgesel bağlantıları (simge bağlantıları olarak da bilinir) nasıl işlediğini inceleyen kırmızı ekibi tarafından ortaya çıkarıldı.
Sembolik bağlantılar, başka bir dosyaya veya dizine işaret eden ve işletim sisteminin bağlantılı dosyayı sembolik bağlantı konumundaymış gibi ele almasını sağlayan dosyalardır. Imperva’dan hatayı keşfetmesiyle tanınan Ron Masas, kısayollar oluşturmak, dosya yollarını yeniden yönlendirmek veya dosyaları daha iyi organize etmek için kullanıldıklarını açıkladı.
Masas, yazısında “Google’a ifşa ettiğimiz güvenlik açığı söz konusu olduğunda, sorun, tarayıcının dosya ve dizinleri işlerken sembolik bağlantılarla etkileşim kurma biçiminden kaynaklandı” dedi.
“Tarayıcı özellikle, sembolik bağlantının erişilebilir olması amaçlanmayan ve hassas dosyaların çalınmasına izin veren bir konuma işaret edip etmediğini doğru bir şekilde kontrol etmedi. Bu sorun genellikle sembolik bağlantı takibi olarak bilinir.”
CVE-2022-3656’dan yararlanan olası bir saldırı senaryosunda, bir saldırgan kripto cüzdan hizmeti sunmak için sahte bir web sitesi oluşturarak kullanıcıyı kandırarak sözde kurtarma anahtarlarını zip dosyası biçiminde indirerek yeni bir cüzdan oluşturması için kandırabilir. kullanıcının bilgisayarındaki bulut hizmeti kimlik bilgileri gibi hassas bir dosya veya klasöre yönelik bir sembolik bağlantı.
Dosya sıkıştırılmış haldeyse ve kötü amaçlı kurtarma anahtarları web sitesine geri yüklenirse, sembolik bağlantı işlenir ve saldırgan hassas dosyaya erişim elde eder.
Böyle bir senaryoda, kurban kandırıldıklarını bile fark etmeyebilir, çünkü pek çok kripto cüzdanı veya diğer çevrimiçi hizmetler, kullanıcılarının belki de unuttukları için hesaplarına erişimlerini kaybetmeleri durumunda yedek olarak hizmet vermek üzere kurtarma anahtarlarını indirmelerini gerektirir. onların şifresi.
Masas, tarayıcıdaki dosya giriş öğesini manipüle etmek için CSS’yi kullanarak bir kavram kanıtı saldırısı oluşturmayı başardı. Dosya giriş öğesi büyütüldüğünde, sayfaya düşen herhangi bir dosyanın yüklenmesini sağlayabildi ve bu da, dosyalara sızmak için sembolik bağlantı güvenlik açığından yararlanmasına izin verdi.
Siber suçluların, cüzdanlarına erişmek ve para çalmak için yazılım güvenlik açıklarından yararlanarak kripto para birimlerine sahip kişileri giderek daha fazla hedef aldığını, bu nedenle Chrome veya Microsoft Edge gibi Chromium tabanlı bir tarayıcı kullanıyorsanız, onları güncel tutmanın önemli olduğunu ve dosyaları indirirken daha fazla özen göstermek için. Kullanıcılar ayrıca kripto varlıklarını depolamak için bir donanım cüzdanı kullanmayı ve parola yöneticileri veya çok faktörlü kimlik doğrulama (MFA) ile kimlik bilgilerinin güvenliğini artırmayı düşünebilirler.
Masas, 25 Ekim 2022’de Chrome 107 güncellemesinde bir düzeltme yayınlayan Google’a sembolik bağlantı güvenlik açığını bildirdi. Ancak Masas ve ekibi bunu test ettiğinde, sorunun tam olarak giderilmediğini gördüler. 29 Kasım’da yayınlanan Chrome 108 güncellemesinde artık tamamen çözüldü (bu ek düzeltmenin olumsuzluk Google’ın resmi yayın güncellemesinde açıklanmıştır).
Masas, “Google’a bu soruna yanıt verdiği ve sorunu ele alma konusundaki iş birliği için teşekkür etmek istiyoruz” dedi.
“Google ekibiyle çalışmak ve Chrome’u tüm kullanıcılar için daha güvenli bir tarayıcı haline getirmeye yardımcı olmak bir ayrıcalıktı. Güvenlik açıklarını belirleme ve ifşa etme yeteneğimizle gurur duyuyoruz ve hepimizin güvendiği ürünlerin olabildiğince güvenli olmasını sağlamak için yazılım satıcılarıyla çalışmaya kararlıyız.”