Bugün, Squarex, Safari kullanıcılarını hedefleyen Ortada Gelişmiş Tarayıcı (BITM) saldırısı hakkında yeni tehdit araştırmaları yayınladı.
Mantiant tarafından vurgulandığı gibi, rakipler kimlik bilgilerini çalmak ve Enterprise SaaS uygulamalarına yetkisiz erişim elde etmek için giderek daha fazla BITM saldırıları kullanıyorlar.
Bitm saldırıları, kurbanları kurbanın tarayıcısındaki bir açılır pencere aracılığıyla saldırgan kontrollü bir tarayıcı ile etkileşim kurmak için bir uzak tarayıcı kullanarak çalışır.
.png
)
Yaygın bir Bitm saldırısı, bir kurumsal SaaS uygulamasının meşru giriş sayfasını görüntülemeyi, kurbanları normal bir tarayıcı penceresinde iş yaptıklarını düşünerek kimlik bilgilerini ve diğer hassas bilgileri ifşa ettirmeye almayı içerir.
Buna rağmen, Bitm saldırılarının her zaman sahip olduğu bir kusur, ana pencerenin hala kötü amaçlı URL’yi görüntüleyeceği ve saldırıyı güvenliğe duyarlı bir kullanıcıya daha az ikna edici hale getirmesidir.
Bununla birlikte, Tarayıcı Yılının Hataları (YOBB) projesinin bir parçası olarak, Squarex’in araştırma ekibi, tam ekran API’sını kullanarak büyük bir safariye özgü uygulama kusurunu vurgulamaktadır.
BITM ile birleştirildiğinde, bu güvenlik açığı, son derece ikna edici bir tam ekran bitm saldırısı oluşturmak için kullanılabilir, burada Bitm penceresinin tam ekran modunda açıldığı, böylece ana pencereden şüpheli URL’ler görülmez.
Safari kullanıcıları, tam ekrana giren kullanıcıların net bir görsel göstergesi olmadığı için bu saldırıya karşı özellikle savunmasızdır. Safari’ye karşı bu kırılganlığı açıkladık ve sorunu ele alacak bir plan olmadığı üzücü bir şekilde bilgilendirildik.
Geçerli FullScreen API, “Bu özelliğin çalışması için kullanıcının sayfa veya bir UI öğesi ile etkileşime girmesi gerektiğini” belirtir. Ancak, API’nın belirtmediği şey, tam ekran modunu tetiklemek için ne tür bir etkileşim gerektiğidir.
Sonuç olarak, saldırganlar tıklandığında tam ekran API’sını çağıran açılır pencereye herhangi bir düğmeyi-sahte giriş düğmesi gibi-kolayca gömebilir.
Bu, adres çubuğunda görüntülenen URL de dahil olmak üzere meşru bir giriş sayfasını mükemmel bir şekilde taklit eden tam ekran bir Bitm penceresini tetikler.
Squarex’teki araştırmacılar, “Tam ekran bitm saldırısı, tarayıcı API’larında, özellikle tam ekran API’sındaki mimari ve tasarım kusurlarını vurgular” diyor.
Bir sitenin meşruiyetini doğrulamak için genellikle URL’lere güvenen kullanıcılar, saldırgan kontrollü bir sitede oldukları sıfır görsel ipuçlarına sahip olacaktır.
Bitm’in ne kadar geliştiği ile, işletmelerin artık en güvenlik bilinçli bireyler tarafından görsel olarak tanımlanamayan saldırıları durdurmak için tarayıcı-yerli güvenlik önlemlerine sahip olmaları çok önemlidir. ”
Bitm saldırıları öncelikle kimlik bilgilerini, oturum jetonlarını ve SaaS uygulama verilerini çalmak için kullanılmış olsa da, tam ekran varyantı, saldırıyı çoğu sıradan işletme kullanıcısı için algılanamaz hale getirerek daha fazla hasara yol açma potansiyeline sahiptir.
Örneğin, iniş sitesinde bir hükümet kaynağına bağlantı verdiğini iddia eden ve yanlış bilgi yaymak ve hatta hassas şirket ve kişisel olarak tanımlanabilir bilgileri (PII) toplamak için sahte bir hükümet danışma sayfasına açılan bir düğmesi olabilir.
Mağdur daha sonra saldırgan kontrollü pencerede ek sekmeler bile açabilir ve rakiplerin kurbanın göz atma faaliyetlerini tam olarak izlemesine izin verir.
Adres çubuğunda meşru Figma Giriş sayfası ve URL’yi görüntüleyen tam ekran bitm penceresi (Feragat: Figma, açıklayıcı bir örnek olarak kullanılır)
Diğer tarayıcılar da tam ekran bitm saldırılarına karşı savunmasız mı?
Safari’nin aksine, Firefox, Chrome, Edge ve diğer krom tabanlı tarayıcılar tam ekran modu değiştiğinde bir kullanıcı mesajı görüntüler. Bununla birlikte, bu bildirim son derece ince ve anlık doğada – çoğu çalışan bunu şüpheli bir işaret olarak fark etmeyebilir veya kaydetmeyebilir.
Ayrıca, saldırgan, bildirimi daha az fark edilebilir hale getirmek için karanlık modlar ve renkler de kullanabilir. Buna karşılık, Safari’nin bir mesajlaşma gereksinimi yoktur – tam ekran moduna girmenin tek görsel işareti “kaydırma” bir animasyondur.
Bu nedenle, saldırı Safari tarayıcılarında net görsel ipuçları göstermezken, diğer tarayıcılar da tam ekran bitm saldırısını mümkün kılan aynı tam ekran API güvenlik açığına maruz kalır.
Mevcut güvenlik çözümleri tam ekran bitm saldırılarını tespit edemiyor
Ne yazık ki, EDR’lerin tarayıcıya sıfır görünürlüğü vardır ve herhangi bir bitm saldırısını tespit etmek söz konusu olduğunda eski olduğu kanıtlanmıştır, daha az daha gelişmiş tam ekran varyantı.
Ayrıca, saldırıyı uzak tarayıcı ve piksel itme gibi teknolojilerle düzenlemek, şüpheli yerel trafiği ortadan kaldırarak SASE/SSE algılamasını atlamasına da izin verecektir. Sonuç olarak, zengin tarayıcı metriklerine erişmeden, güvenlik araçlarının tam ekran bitm saldırılarını algılaması ve azaltması imkansızdır.
Bu nedenle, kimlik avı saldırıları, tarayıcı API’lerinin aktarılamaz veya tarayıcı sağlayıcıları tarafından düzeltilmesi önemli zaman alacak mimari sınırlamalardan yararlanmak için daha sofistike hale geldikçe, işletmelerin tarayıcıda tam ekran bitm gibi gelişmiş saldırıları içerecek şekilde savunma stratejilerini yeniden düşünmesi kritiktir.
Bu güvenlik araştırması hakkında daha fazla bilgi edinmek için kullanıcılar https://sqrx.com/fullscreen-bitm adresini ziyaret edebilir.
Squarex’in araştırma ekibi, 5 Haziran’da saat 10: 00’da PT/13:00 ET’de tam saldırı zincirine daha derin dalmak için bir web semineri düzenliyor. Kaydolmak için kullanıcılar buraya tıklayabilir.
Squarex Hakkında
Squarex, kuruluşların istemci tarafı web saldırılarını proaktif olarak tespit etmeleri, azaltma ve etkili bir şekilde tehdit etmelerini sağlayan öncü bir tarayıcı algılama ve yanıtıdır (BDR).
Squarex, kötü amaçlı tarayıcı uzantıları, gelişmiş spearphishing, tarayıcı-yerli fidye yazılımı, Genai DLP ve daha fazlası dahil olmak üzere çok çeşitli tarayıcı güvenlik tehditlerine karşı kritik koruma sağlar.
Eski güvenlik yaklaşımlarının ve hantal kurumsal tarayıcıların aksine, Squarex kullanıcıların mevcut tüketici tarayıcılarıyla sorunsuz bir şekilde entegre olur ve kullanıcı deneyiminden veya üretkenliğinden ödün vermeden gelişmiş güvenlik sağlar.
Doğrudan tarayıcı içinde eşsiz görünürlük ve kontrol sağlayarak, Squarex güvenlik liderlerinin saldırı yüzeyini azaltmalarını, eyleme geçirilebilir zeka kazanmalarını ve en yeni tehdit vektörüne (tarayıcıya karşı kurumsal siber güvenlik duruşlarını güçlendirmelerini sağlar. Kullanıcılar daha fazlasını www.sqrx.com adresinde bulabilir.
Tam ekran Bitm saldırısı açıklaması, tarayıcı hataları projesinin bir parçasıdır. Her ay, Squarex’in araştırma ekibi, tarayıcının mimari sınırlamalarına ve görevdeki güvenlik çözümlerine odaklanan büyük bir web saldırısı yayınlıyor. Daha önce açıklanan saldırılar arasında tarayıcı senkronizasyonu, polimorfik uzantılar ve tarayıcı-yerli fidye yazılımı bulunur.
Squarex’in BDR’si hakkında daha fazla bilgi edinmek için kullanıcılar formaner@sqrx.com adresinden Squarex ile iletişime geçebilir. Bu açıklama veya tarayıcı hataları yılı hakkında basın soruları için kullanıcılar junice@sqrx.com adresinden e -posta gönderebilir.