Noel arifesinde, veri tespit ve yanıt firması Cyberhaven’daki geliştiriciler, aşırı meta veri ihlali nedeniyle şirketin Chrome uzantısına erişimin kaldırılmasıyla tehdit eden, Google’dan gelmiş gibi görünen rahatsız edici bir e-posta aldı.
Bir çalışan “Politikaya Git” bağlantısını tıkladı, üçüncü taraf bir uygulamaya (bu durumda, “Gizlilik Politikası Uzantısı” adı verilen görünüşte zararsız bir uygulamaya) ayrıcalıklar eklemek için Google’ın yetkilendirme uygulamasına yönlendirildi ve onlara yazılım hakları verildi. Chrome Web Mağazası’nda görebilir, düzenleyebilir, güncelleyebilir ve yayınlayabilirsiniz. Ancak saldırgan, erişim izni verildikten sonra hızlı bir şekilde Cyberhaven’ın tarayıcı eklentisini değiştiren yeni bir Chrome uzantısı yükleyerek tarayıcıda kayıtlı Facebook erişim belirteçlerini sızdırdı ve muhtemelen captcha’ları atlamak için bir fare tıklaması dinleyicisi kurdu. firmanın mühendislik ekibi tarafından ihlalin ön analizi.
Cyberhaven CEO’su Howard Ting, kötü amaçlı Chrome uzantısının keşfedilmesinden önce yalnızca bir gün kadar aktif olduğunu söyledi bir açıklamada söyledi.
“Bu dönemde güvenliği ihlal edilmiş uzantıyı çalıştıran tarayıcılar için, kötü amaçlı kod, belirli hedeflenen web sitelerine yönelik çerezleri ve kimliği doğrulanmış oturumları sızdırmış olabilir” dedi. “Soruşturma devam ederken, ilk bulgularımız saldırganın belirli sosyal medya reklamlarına ve yapay zeka platformlarına giriş yapmayı hedeflediğini gösteriyor.”
Cyberhaven yalnız değil, saldırıyı tespit eden ilk kurbanlardan biri gibi görünüyor. Şu ana kadar 2,6 milyon kişi tarafından kullanılan 36 farklı uzantının saldırıyla, tekniklerle veya saldırganların kullandığı altyapıyla bir şekilde bağlantılı olduğu görülüyor. Bir tarayıcı uzantısı yönetim hizmeti olan Secure Annex’in kurucusu John Tuckner tarafından yapılan bir analiz. Cyberhaven, Chrome uzantılarına yönelik saldırıyı tespit edene kadar, diğer şirketlerdeki geliştiriciler ve bağımsız programcılar, tedarik zinciri saldırısını kullanarak benzer riskleri tespit etmekte büyük ölçüde başarısız oldu.
Saldırganlar Tedarik Zincirine Odaklanıyor
Saldırılar, şirketlerin yazılım tedarik zincirlerini güvence altına alma konusunda yaşadıkları sorunların altını çiziyor. Bulut uygulama güvenlik hizmeti sağlayıcısı Nudge Security’nin kurucu ortağı ve baş teknoloji sorumlusu Jaime Blasco, çoğu şirketin, çalışanlarının günlük olarak kullandığı yazılımların çoğuna (ve bazı yazılımların yerini alan bulut hizmetlerine) ilişkin görünürlüğe sahip olmadığını söylüyor.
“Modern gölge BT yalnızca yazılımdan ibaret değil” diyor. “Çalışanlarınızın kullandığı her SaaS uygulaması, kimsenin bilmediği tonlarca kaynağa erişim sağlıyor; buna Chrome uzantıları ve IDE’lerinizdeki uzantılar da dahil. SaaS’ta insanların dikkat etmediği pek çok yeni saldırı yüzeyi var ekosistem.”
Pek çok şirket, Chrome tarayıcısı ve uzantıları gibi yazılım uygulamalarını genişleten eklentiler aracılığıyla ortaya çıkabilecek risklere dikkat etmiyor.
Google’ın Google Chrome uzantılarına yönelik güncellenmiş güvenlik ve gizlilik standartlarına rağmen, saldırganlar ve araştırmacılar, uzantı ekosistemi aracılığıyla kurbanların tarayıcılarına kötü amaçlı kod yerleştirmenin yollarını bulmaya devam ediyor. Örneğin 2021’de Google bir Chrome uzantısını kaldırdı Bu, bir siber suçlu grubunun uzantıyı orijinal geliştiriciden satın alıp yaklaşık 2 milyon kullanıcısının sistemlerine kötü amaçlı kod yüklemek için kullanmasının ardından kullanıcıların eski sekmeleri ve işlemlerini kapatmasına yardımcı oldu. Üniversite araştırmacıları da bulunan yollar ile Google’ın güvenlik sürecini atlatmak Kötü amaçlı Chrome uzantılarını Chrome Web Mağazası’nda yayınlamak için.
Genel olarak, yüz milyonlarca Chrome kullanıcısının tarayıcılarında kötü amaçlı yazılım, güvenlik açığı içeren veya Google politikalarını ihlal eden güvenlik açısından dikkate değer uzantılar (SNE’ler) yüklü. Stanford Üniversitesi araştırmacıları tarafından yayınlanan bir çalışma.
Sosyal Mühendislik Yoluyla Erişim Hakları Kazanmak
Geliştirici kimlik avı kampanyalarında, saldırganlar Chrome Web Mağazası’nda yayınlanan bilgilerden geliştirici e-posta adreslerini topluyor, bu geliştiricileri hedef alan kimlik avı saldırıları gönderiyor ve ardından saldırıların kurbanı olan geliştiricilerin kodlarını ele geçiriyor.
Secure Annex’ten Tuckner, saldırının geliştiricinin kimlik bilgilerini çalmasına gerek olmadığını, yalnızca geliştiriciyi gerekli izinleri vermeye ikna etmesinin yeterli olduğunu söylüyor.
“OAuth kimlik avı saldırısı kullanıldı [by the attacker] Bu çok korkutucu ve hatta Cyberhaven’ın en karmaşık kimlik doğrulama sistemlerinden biri olan Gelişmiş Koruma uygulaması üzerinde çalıştı” diyor ve şöyle devam ediyor: “Geliştiricilerin, bir e-posta adresinin herkese açık olarak Chrome web mağazasına bağlanacağının ve kullanılacağının farkında olması gerektiğini düşünüyorum. Birincil bir iletişim yöntemi olarak maruziyeti artırıyor.”
Saldırganlar tek bir OAuth izin isteğinde çok sayıda ayrıcalığı katmanlandırabildiğinden, pek çok şüpheli davranışın tek bir uzantıda üst üste yığılabileceğini söylüyor.
“Bazı tehdit aktörlerinin tespit ettiğine inandığım, uzlaşmaya, para kazanmaya, sahiplik transferlerine ve hijyen eksikliğine karşı oldukça hassas olan bir avuç uzantı var” diyor. “Konuştuğum birçok kişi için, tarayıcı uzantılarını yönetmek, güvenlik programlarında daha düşük öncelikli bir öğe olabilir. İnsanlar bunların bir tehdit oluşturabileceğini biliyor, ancak onları öncelik haline getirecek hiçbir şey olmadı.”
Uzantıları Destekleme Zamanı
Önümüzdeki yıl Tuckner bunun değişeceğini umuyor.
“Umuyorum ki Chrome web mağazası, daha kötü bir şey yaşanmadan önce nasıl çalıştığı konusunda daha şeffaf hale gelebilir” diyor ve ekliyor: “Şüpheli uzantı raporlama süreci, muhtemelen bunalmış olsa da, çoğu zaman sessizlik, eylemsizlik ve hiçbir belge izi bulunmaması ile karşılanıyor “
Önemli tarayıcı uzantılarına sahip herhangi bir geliştiricinin, saldırıyı tespit etmek için belirli mağaza sağlayıcısına güvenmemesi, bunun yerine yazılım dağıtımlarını düzenli olarak izlemesi öneriliyor. Bir uzantının tehlikeye atılması, kodun yeni bir sürümünün yayınlanmasını gerektirdiğinden, yazılım sürümleri için bir hakem incelemesi ve onay süreci olağandışı dağıtımları yakalayabilir. Ayrıca geliştiricilerin, kimlik avı saldırılarını tespit eden, genel kullanım e-postalarını geliştirme hesaplarından ayıran ve yeni erişim girişimlerinde yönetici onayı gerektiren bir e-posta güvenlik hizmetine sahip olması gerekir.
Cyberhaven ise kendi makinelerinin saldırıdan ne ölçüde etkilendiğini araştırmaya yardımcı olmak için tasarlanmış bir komut dosyası koleksiyonu yayınladı.
Şirket, “Cyberhaven müşterilerimize saldırıya yanıt verme konusunda yardımcı olurken, etkinin yayılmasını hızlı ve doğru bir şekilde değerlendirmek için sınırlı araçların mevcut olduğu ortaya çıktı” dedi. araçların piyasaya sürülmesiyle ilgili 31 Aralık tarihli bir blog yazısışunu da ekliyorum”[t]Bu komut dosyaları, kötü amaçlı bir uzantının verileri sızdırdığını belirten girişleri arar.”
Nudge Security’den Blasco, şirketlerin tarayıcılar, entegre geliştirme ortamları (IDE’ler) ve diğer genişletilebilir yazılım platformları için her türden uzantıyı kullanan saldırıların gelecekte artmasını beklemesi gerektiğini söylüyor.
“Saldırganlar, şirketlerin uç noktalarını korumak için yeterli miktarda dolar harcadığını biliyor” diyor. “Ancak SaaS uygulamaları ve Chrome gibi diğer yerlerde yeterli görünürlüğe sahip değilsiniz ve yeterli güvenlik kontrolü bulunmuyor. Yani bu [Chrome security issue] bu sadece daha sık olacağını göreceğimiz şeyin bir evrimi.”