Güvenlik açığı (CVE-2022-3656), uzaktaki saldırganların bulut hizmeti sağlayıcı kimlik bilgileri ve kripto cüzdan ayrıntıları gibi hassas kullanıcı verilerini çalmasına izin verdi.
Imperva Red Team’deki siber güvenlik araştırmacıları, 2,5 milyardan fazla Google Chrome kullanıcısını ve Opera ve Edge dahil tüm Chromium tabanlı tarayıcıları etkileyen, yakın zamanda keşfedilen ve yamalanan bir güvenlik açığının ayrıntılarını paylaştı.
Güvenlik Açığı Ayrıntıları
CVE-2022-3656 olarak izlenen güvenlik açığı, uzaktaki saldırganların bulut hizmeti sağlayıcı kimlik bilgileri ve kripto cüzdan ayrıntıları gibi hassas kullanıcı verilerini çalmasına olanak tanıyor. Daha fazla araştırma, sorunun, Chrome tarayıcısının dizinleri ve dosyaları işlerken sembolik bağlantılarla nasıl etkileşime geçtiğinden kaynaklandığını ortaya çıkardı.
Imperva’nın araştırmacısı Ron Masas’a göre tarayıcı, sembolik bağlantının erişilemeyen bir konuma işaret edip etmediğini kontrol etmedi ve hassas dosyaların çalınmasını teşvik etti. Google, bunu Dosya Sistemindeki yetersiz veri doğrulamasından kaynaklanan orta düzeyde bir güvenlik açığı olarak nitelendirdi. Şirket, sırasıyla Ekim ve Kasım 2022’de yayınlanan Chromium 107 ve 108 sürümlerinde bir düzeltme yayınladı.
SymStealer nedir?
Imperva araştırmacıları raporlarında kusuru SymStealer olarak adlandırdı. Sorun, saldırgan program kısıtlamalarından kaçınmak ve yetkisiz dosyalara erişmek için Dosya Sistemini kullandığında ortaya çıkar. Imperva’nın analizi, bir kullanıcı bir klasörü doğrudan bir dosya giriş öğesine sürükleyip bıraktığında, tarayıcının tüm sembolik bağları bir uyarı görüntülemeden yinelemeli olarak çözdüğünü ortaya çıkardı.
Bilgin olsun, bir simgesel bağlantı aynı zamanda simgesel bağlantı olarak da adlandırılır. Bir dizine veya dosyaya işaret eden bir dosyadır ve işletim sisteminin onu sembolik bağlantının konumunda depolanmış gibi ele almasına izin verir. Genellikle bu özellik, kullanıcıların kısayollar oluşturmasına, dosya düzenlemesine ve dosya yollarını yeniden yönlendirmesine yardımcı olur.
Ancak Imperva’nın araştırması, bu özelliğin, tarayıcıların dosya/dizin işleme için sembolik bağlantılarla nasıl etkileşime girdiği nedeniyle ortaya çıkan buna benzer güvenlik açıklarını ortaya çıkarmak için kullanılabileceğini ortaya çıkardı. Bu soruna sembolik bağlantı takibi de denir.
Saldırı Senaryosu
Bu zayıflık sayesinde, saldırgan bir kurbanı kandırarak güvenliği ihlal edilmiş bir web sitesine erişebilir ve cihazda bulunan değerli bir klasöre veya dosyaya, örneğin cüzdan anahtarlarına giden sembolik bağlantıyı içeren bir ZIP arşiv dosyasını indirebilir. Bu dosya, kripto cüzdan hizmeti gibi bir bulaşma zinciri bileşeni olarak bu siteye geri yüklendiğinde, kullanıcıdan kurtarma anahtarlarını yüklemesi istenir.
Saldırgan artık sembolik bağlantıyı geçebilir ve anahtar ifadeyi depolayan orijinal dosyaya erişebilir. Imperva araştırmacıları, dosya giriş öğesinin boyutunu değiştirmek için CSS hilesini kullanarak bir kavram kanıtı tasarladı; böylece dosya, klasörün sayfada nereye düştüğüne bakılmaksızın yüklenir ve bilgiler başarılı bir şekilde çalınır.
En son güvenlik açıklarına karşı korunmak ve kişisel ve finansal bilgilerinizin güvende kalmasını sağlamak için yazılımınızı her zaman güncel tutmanız önemlidir.
Imperva
Alakalı haberler
- Google Chrome için Son Güncelleme, İstismar Edilen 0 Günlük Hatayı Düzeltiyor
- Reklam engelleyici Chrome uzantısı, Google aramalarına reklam enjekte etti
- Yeni kötü amaçlı yazılım, Windows PC’lere saldırmak için sahte Chrome güncellemesini cezbediyor
- Kötü Amaçlı Yazılım Barındıran Chrome Uzantıları Bir Milyondan Fazla Bilgisayara Bulaşıyor
- Kötü amaçlı reklam saldırısı, kötü amaçlı Chrome uzantılarını ve arka kapıları yaydı