Tarayıcı uzantılarını hedef alan son saldırı kampanyası, kötü amaçlı tarayıcı uzantılarının kimlik saldırılarının bir sonraki sınırı olduğunu gösteriyor.
Dünya çapında binlerce kuruluştan 2,6 milyondan fazla kullanıcı, Yeni Yıl’dan hemen önce, tarayıcı uzantılarını kullanan bir saldırı kampanyasının parçası olarak çerezlerinin ve kimlik verilerinin açığa çıktığını öğrendiklerinde bunu zor yoldan öğrendi.
Saldırı, ilk olarak veri güvenliği şirketi Cyberhaven’ın, bir saldırganın tarayıcı uzantısını tehlikeye attığını ve kullanıcıların Facebook çerezlerini ve kimlik doğrulama jetonlarını çalmak için bu uzantıya kötü amaçlı kod enjekte ettiğini açıklamasıyla ortaya çıktı.
Ancak Cyberhaven’ın açığa çıkmasıyla ilgili haberler kamuoyuna duyurulduktan sonra, güvenliği ihlal edilmiş başka uzantılar da hızla keşfedildi. Şu anda otuz beşten fazla tarayıcı uzantısının ele geçirildiği biliniyor ve hâlâ yenileri bulunuyor.
Güvenliği ihlal edilen uzantıların çoğu, o zamandan beri kötü amaçlı kodu kaldırmak için güncellenmiş sürümler yayınladı veya Chrome Mağazasından tamamen kaldırıldı.
Dolayısıyla, acil tehdit (en azından uzantıların çoğu tarafından) kontrol altına alınmış gibi görünse de, tarayıcı uzantılarının oluşturduğu kimlik risklerine ve birçok kuruluşun bu risk hakkında sahip olduğu farkındalık eksikliğine dikkat çekiyor. (LayerX artık kuruluşların risklerini denetlemek ve düzeltmek için ücretsiz bir hizmet sunuyor; kaydolmak için burayı tıklayın).
İçeriden Gelen Kimlik Tehdidi
Tarayıcı uzantılarının kullanımı çoğu kuruluşta her yerde mevcuttur. LayerX’in verilerine göre kurumsal kullanıcıların yaklaşık %60’ının tarayıcılarında tarayıcı uzantıları yüklü.
Çoğu tarayıcı uzantısının yazımınızı düzeltmek, indirim kuponları bulmak ve not almak gibi meşru kullanımları olsa da bunlara sıklıkla çerezler, kimlik doğrulama belirteçleri, şifreler, tarama verileri ve daha fazlası gibi hassas kullanıcı verilerine kapsamlı erişim izinleri de verilir.
Tarayıcı uzantısı izinleri Google, Microsoft veya Mozilla gibi tarayıcı sağlayıcıları tarafından sağlanan API’lere tabidir. Bir tarayıcı uzantısı ilk kez yüklendiğinde, genellikle istediği izinleri listeler ve kullanıcıdan onay ister (ancak varsayılan olarak sağlanan ve kullanıcının açık iznini gerektirmeyen bazı izinler vardır).
Uzantıların bu tür API’ler aracılığıyla erişebileceği önemli bilgiler şunları içerir:
-
Çerezler: web sitesi kimlik doğrulaması için kullanılabilecek kullanıcının çerezlerini okuma/yazma/değiştirme erişimi. Bu olayda, güvenliği ihlal edilen tarayıcı uzantılarının birincil hedefinin çerezler olduğu anlaşılıyor
-
Kimlikler: kullanıcının kimliğine ve profiline erişim
-
Tarama geçmişi: kullanıcının göz atma geçmişini görüntüleyin ve nerede olduklarını görün
-
Verilere göz atılıyor: kullanıcının göz attığı URL’yi görün ve tüm göz atma meta verilerini görün
-
Şifreler: Pek çok uzantı, web oturumu bunları şifrelemeden önce web isteklerinin bir parçası olarak web sitelerine gönderilen düz metin şifrelerini görüntülemek için yeterli izinlere sahiptir.
-
Web sayfası içeriği: tüm açık sekmelerdeki tüm web sayfası verilerinin görünürlüğünü sağlar, böylece dahili sistemdeki verileri potansiyel olarak kopyalayabilir, aksi takdirde çevrimiçi olarak erişilemez
-
Metin girişi: Tıpkı bir keylogger gibi, bir web sayfasındaki her tuş vuruşunu izleyin
-
Ses/video yakalama: bilgisayarın mikrofonuna ve/veya kamerasına erişme
Çoğu tarayıcı uzantısının bu izinlerin tümüne erişimi olmasa da birçok uzantının bu izinlerin bazılarına (veya çoğuna) erişimi vardır.
Nitekim LayerX verilerine göre, tarayıcı uzantılarının %66’sının kendilerine ‘yüksek’ veya ‘kritik’ düzeyde izinler verilmiş olduğu ve kullanıcıların %40’ının bilgisayarlarında yüksek/kritik düzeyde izin kapsamına sahip uzantıların yüklü olduğu görülüyor.
Bu kadar kapsamlı izinlere sahip tarayıcı uzantılarının tehlikeye atılması veya kötü amaçla kullanılması, sayısız güvenlik açığına ve saldırı vektörlerine yol açabilir:
-
Kimlik hırsızlığı: uzantı tarafından kaydedilen kimliklerin ve/veya şifrelerin çalınması
-
Hesap devralma: çalıntı çerezleri veya kimlik bilgilerini kullanmak ve bunları doğrulanmış kullanıcı olarak oturum açmak için kullanmak
-
Oturum ele geçirme: oturum kimlik doğrulaması için çalıntı çerezlerin veya erişim belirteçlerinin kullanılması
-
Veri hırsızlığı: web sayfalarına gönderilen verileri yakalamak veya doğrudan kullanıcının klavyesi, mikrofonu veya kamerası aracılığıyla yakalamak
Çalışanlar kurumsal uç noktalara gözetim veya kontrol olmaksızın tarayıcı uzantılarını özgürce yüklediğinde kuruluşlar daha da ciddi risklerle karşı karşıya kalır; çünkü güvenliği ihlal edilmiş uzantılar yoluyla kurumsal kimlik bilgilerini çalan saldırganlar, yalnızca kullanıcının kişisel hesaplarını değil, aynı zamanda kurumsal sistemleri de tehlikeye atabilir ve hassas kurumsal verilere erişerek potansiyel olarak liderliğe yol açabilir. yaygın veri maruziyetine
Bu risk, daha fazla çalışanın kimlik bilgileri hırsızlığı ve ardından gelen sistem riskleri için giriş noktası görevi görebilecek incelenmemiş uzantılar yüklemesiyle kuruluş genelinde daha da artıyor.
CISO’ların Uzatma Risklerini Azaltmaya Yönelik Stratejik Çerçevesi
Uzantıları hedef alan son saldırıların ışığında, güvenlik liderlerinin sıklıkla gözden kaçan bu tehdit vektörünü ele almak için kapsamlı stratejiler uygulaması gerekiyor. Kuruluşların, ortamlarındaki tarayıcı uzantısı risklerini yönetmek için sistematik bir yaklaşımı nasıl geliştirebilecekleri aşağıda açıklanmıştır:
-
Tüm uzantıları denetleyin: Herhangi bir tarayıcı uzantısı güvenlik programının temeli kapsamlı görünürlükle başlar. Güvenlik ekipleri, kurumsal ortamlarında mevcut tüm uzantıları belirlemek için kapsamlı denetimler yapmalıdır. Bu, hoşgörülü tarayıcı ve uzantı yükleme politikalarına sahip kuruluşlarda özellikle zorlayıcı olsa da potansiyel riskin tam kapsamını anlamak için hayati önem taşıyor.
-
Riskli Kategorileri Belirleyin: Uzantı kategorizasyonu, özellikle belirli uzantı türlerini hedef alan son saldırı modelleri göz önüne alındığında, bir sonraki kritik adım olarak ortaya çıkıyor. En son kampanyalar üretkenlik araçlarına, VPN çözümlerine ve yapay zeka ile ilgili uzantılara net bir şekilde odaklanıldığını gösterdi. Bu hedefleme rastgele değildir; saldırganlar, büyük kullanıcı tabanlarını yöneten (üretkenlik araçları gibi) veya kapsamlı sistem izinlerine sahip olan (ağ erişim hakları gerektiren VPN uzantıları gibi) uzantı kategorilerini stratejik olarak seçerler.
-
İzin kapsamını numaralandırın: Her bir uzantıya verilen izinlerin kesin olarak anlaşılması, güvenlik ekipleri için önemli bir bağlam sağlar. Bu ayrıntılı izin eşlemesi, her bir uzantının potansiyel olarak hangi kurumsal verilere ve sistemlere erişebileceğini ortaya koyuyor. Örneğin, görünüşte zararsız bir üretkenlik uzantısı, hassas kurumsal verilere veya tarama etkinliklerine endişe verici düzeylerde erişime sahip olabilir.
-
Riski değerlendirin: Kuruluşlar hem uzantı varlığını hem de izinleri haritalandırdıktan sonra risk değerlendirmesi mümkün olur. Etkili bir değerlendirme çerçevesi iki temel boyutu değerlendirmelidir: teknik risk (izin kapsamına ve potansiyel erişime dayalı olarak) ve güven faktörleri (yayıncı itibarı, kullanıcı tabanı boyutu ve dağıtım yöntemi dahil). Her uzantı için eyleme dönüştürülebilir risk puanları üretmek amacıyla bu unsurlar ağırlıklandırılmalıdır.
-
Kontrolleri uygula: Bu çerçevenin doruk noktası bağlamsal güvenlik kontrollerinin uygulanmasında yatmaktadır. Kuruluşlar, risk iştahlarına ve operasyonel gereksinimlerine göre ayrıntılı politikalar oluşturabilir. Örneğin, güvenlik ekipleri, çerez erişimi isteyen uzantıları engellemeyi veya yüksek riskli AI ve VPN uzantılarını kısıtlarken güvenilir olanlara izin vermek gibi daha karmaşık kurallar uygulamayı seçebilir.
Tarayıcı uzantıları işyeri verimliliğini inkar edilemez bir şekilde artırırken, son saldırı kampanyaları, sağlam güvenlik önlemlerine olan acil ihtiyacın altını çiziyor. Güvenlik liderleri, yönetilmeyen tarayıcı uzantılarının önemli ve büyüyen bir saldırı yüzeyini temsil ettiğinin farkında olmalıdır.
Kuruluşların tarayıcı uzantılarını korumaya yönelik bir strateji uygulamalarına yardımcı olmak için LayerX, uzantı riskleri ve kötü amaçlı uzantılardan kaynaklanan riskleri iyileştirmeye yönelik uygulanabilir önlemler hakkında kapsamlı bir kılavuz sunuyor.
Kılavuzu indirmek için buraya tıklayın.
Uzatma Riskini Değerlendirmek İçin Ücretsiz Denetim
Ayrıca LayerX, kuruluşların genişleme riskine ilişkin ücretsiz bir denetim sunuyor.
Denetim, kuruluşun uç noktasında yüklü olan tarayıcı uzantılarının keşfedilmesini, güvenliği ihlal edilmiş uzantıların tespit edilmesini ve kötü amaçlı uzantıların aktif olarak iyileştirilmesini içerir.
Tarayıcı uzantılarını açığa çıkaran son saldırı kampanyasından etkilendiği tespit edilen kuruluşlar için LayerX, açığa çıkmış olabilecek kullanıcı çerezlerini ve şifrelerini döndürme gibi iyileştirme çabaları da sunuyor.
Ücretsiz denetime kaydolmak için burayı tıklayın.
LayerX tarafından desteklenmiş ve yazılmıştır.