Palo Alto, Kaliforniya, ABD, 30 Aralık 2024, CyberNewsWire
Sektörde bir ilk olan Tarayıcı Algılama ve Yanıt (BDR) çözümü olan SquareX, tarayıcı güvenliğinde öncülük ediyor. Yaklaşık bir hafta önce SquareX, Chrome Uzantısı geliştiricilerini hedef alan ve Chrome Uzantısını Chrome Mağazasından devralmayı amaçlayan büyük ölçekli saldırılar bildirmişti.
25 Aralık 2024’te, Cyberhaven’ın tarayıcı uzantısının, saldırganın kimliği doğrulanmış oturumları ele geçirmesine ve gizli bilgileri sızdırmasına olanak tanıyan kötü amaçlı bir sürümü Chrome Store’da yayınlandı. Kötü amaçlı uzantı, Cyberhaven tarafından kaldırılmadan önce 30 saatten fazla bir süre indirilmeye açıktı. Veri kaybını önleme şirketi, basının kendisine ulaşması üzerine etkinin boyutu hakkında yorum yapmayı reddetti ancak saldırı sırasında uzantının Chrome Mağazasında 400.000’den fazla kullanıcısı vardı.
Ne yazık ki saldırı, SquareX araştırmacılarının Cyberhaven ihlalinden yalnızca bir hafta önce tüm saldırı yolunu gösteren bir videoyla benzer bir saldırı tespit etmesiyle gerçekleşti. Saldırı, Chrome Mağazası’nın kimliğine bürünen, platformun “Geliştirici Anlaşması”nı ihlal ettiği varsayılan bir kimlik avı e-postasıyla başlıyor ve alıcıyı, uzantılarının Chrome Mağazası’ndan kaldırılmasını önlemek için politikaları kabul etmeye çağırıyor. Politika düğmesine tıklandığında, kullanıcıdan Google hesabını, saldırgana geliştiricinin hesabındaki uzantıları düzenleme, güncelleme ve yayınlama erişimi sağlayan bir “Gizlilik Politikası Uzantısı”na bağlaması istenir.
Şekil 1. Uzantı geliştiricilerini hedefleyen kimlik avı e-postası
Şekil 2. Geliştiricinin uzantısını “düzenlemek, güncellemek veya yayınlamak” için erişim isteyen Sahte Gizlilik Politikası Uzantısı
Uzantılar, saldırganların ilk erişim elde etmesinin giderek daha popüler bir yolu haline geldi. Bunun nedeni çoğu kuruluşun, çalışanlarının hangi tarayıcı uzantılarını kullandığı konusunda sınırlı yetkiye sahip olmasıdır. En sıkı güvenlik ekipleri bile genellikle bir uzantı beyaz listeye alındıktan sonra sonraki güncellemeleri izlemez.
SquareX kapsamlı bir araştırma gerçekleştirdi ve DEFCON 32’de MV3 uyumlu uzantıların video akışı akışlarını çalmak, sessiz bir GitHub işbirlikçisi eklemek ve oturum çerezlerini çalmak için nasıl kullanılabileceğini gösterdi. Saldırganlar görünüşte zararsız bir uzantı oluşturabilir ve daha sonra kurulumdan sonra bunu kötü amaçlı bir uzantıya dönüştürebilir veya yukarıdaki saldırıda gösterildiği gibi, zaten yüz binlerce kullanıcısı olan bir uzantıya erişim sağlamak için geliştiricileri güvenilir bir uzantının arkasında aldatabilir. Cyberhaven vakasında saldırganlar, uzantının kötü amaçlı sürümü aracılığıyla birden fazla web sitesi ve web uygulamasında şirket kimlik bilgilerini çalmayı başardı.
Geliştirici e-postalarının Chrome Store’da herkese açık olarak listelendiği göz önüne alındığında, saldırganların aynı anda binlerce uzantı geliştiricisini hedeflemesi kolaydır. Bu e-postalar genellikle hata raporlama için kullanılır. Bu nedenle, daha büyük şirketlerin uzantıları için listelenen destek e-postaları bile genellikle bu tür bir saldırıda şüphe bulmak için gerekli güvenlik farkındalığına sahip olmayan geliştiricilere yönlendirilir. SquareX’in saldırı açıklamasına ve iki haftadan kısa bir süre içinde meydana gelen Cyberhaven ihlaline göre şirketin, diğer birçok tarayıcı uzantısı sağlayıcısının da aynı şekilde saldırıya uğradığına inanmak için güçlü nedenleri var. SquareX, şirketleri ve bireyleri, herhangi bir tarayıcı uzantısını yüklemeden veya güncellemeden önce dikkatli bir inceleme yapmaya teşvik eder.
Şekil 3. Uzantı geliştiricilerinin iletişim bilgileri Chrome Store’da herkese açıktır
SquareX ekibi tüm rakip güvenlik öncelikleri arasında, özellikle sıfır gün saldırıları söz konusu olduğunda, iş gücündeki her bir tarayıcı uzantısını değerlendirmenin ve izlemenin önemsiz olamayacağının bilincindedir. Videoda gösterildiği gibi, Cyberhaven’ın ihlaline karışan sahte gizlilik politikası uygulaması, herhangi bir popüler tehdit akışı tarafından bile tespit edilmedi.
SquareX’in Tarayıcı Algılama ve Yanıt (BDR) çözümü, güvenlik ekiplerinin bu karmaşıklığını aşağıdaki yollarla ortadan kaldırır:
- Çalışanların yanlışlıkla saldırganlara Chrome Mağazası hesabınıza yetkisiz erişim sağlamasını önlemek için yetkisiz web siteleriyle OAuth etkileşimlerini engelleme
- Yeni, riskli izinler içeren şüpheli uzantı güncellemelerini engelleme ve/veya işaretleme
- Olumsuz yorumların arttığı şüpheli uzantıları engelleme ve/veya işaretleme
- Yandan yüklenen uzantıların kurulumlarının engellenmesi ve/veya işaretlenmesi
- Şirket politikasına dayalı olarak hızlı onay için yetkili liste dışındaki tüm uzantı kurulum taleplerini kolaylaştırın
- Kuruluş genelinde çalışanlar tarafından yüklenen ve kullanılan tüm uzantılarda tam görünürlük
SquareX’in kurucusu Vivek Ramachandran şu uyarıda bulunuyor: “Bu OAuth saldırısına benzer tarayıcı uzantılarını hedef alan kimlik saldırıları, çalışanların işyerinde üretken olmak için daha fazla tarayıcı tabanlı araçlara güvenmeleri nedeniyle daha yaygın hale gelecektir. Bu saldırıların benzer çeşitleri geçmişte Google Drive ve One Drive gibi uygulamalardan bulut verilerini çalmak için kullanılmıştı ve saldırganların tarayıcı uzantılarından yararlanma konusunda daha yaratıcı olduklarını göreceğiz. Şirketlerin dikkatli olmaları ve çalışanların üretkenliğini engellemeden, çalışanlarını doğru tarayıcı yerel araçlarıyla donatarak tedarik zinciri risklerini en aza indirmeleri gerekiyor.”
SquareX Hakkında:
SquareX, kuruluşların kullanıcılarına karşı gerçekleşen istemci tarafı web saldırılarını gerçek zamanlı olarak tespit etmesine, azaltmasına ve tehdit avlamasına yardımcı olur.
SquareX’in sektörde bir ilk olan Tarayıcı Tespit ve Yanıt (BDR) çözümü, tarayıcı güvenliğine saldırı odaklı bir yaklaşım getirerek kurumsal kullanıcıların kötü amaçlı QR Kodları, Tarayıcıdaki Tarayıcı kimlik avı, makro tabanlı kötü amaçlı yazılımlar gibi gelişmiş tehditlere karşı korunmasını sağlar. ve kötü amaçlı dosyaları, web sitelerini, komut dosyalarını ve güvenliği ihlal edilmiş ağları kapsayan diğer web saldırıları.
SquareX ile kuruluşlar, yüklenicilere ve uzak çalışanlara dahili uygulamalara ve kurumsal SaaS’a güvenli erişim sağlayabilir ve BYOD/yönetilmeyen cihazlardaki tarayıcıları güvenilir tarama oturumlarına dönüştürebilir.
Temas etmek
PR Başkanı
Düve Liew
KareX
[email protected]
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu”nda 500.000’den fazla siber güvenlik profesyoneline katılın!