Palo Alto, ABD, 30 Ocak 2025, Cybernewswire
Squarex, tarayıcıyı ve sonunda tüm cihazı tamamen ele geçirmek için kötü niyetli uzantıların nasıl kullanılabileceğini gösteren yeni bir saldırı tekniğini açıklar.
Palo Alto, Kaliforniya, 30 Ocak 2025 – Krom uzatma geliştiricilerindeki OAuth saldırıları dalgası ve veri açığa çıkma saldırıları nedeniyle son zamanlarda Enterprise Security News’de tarayıcı uzantıları spot ışığı altında. Bununla birlikte, şimdiye kadar, tarayıcı satıcıları sınırlamalar nedeniyle, uzatma alt sistemi ve uzantılara yerleştirildi, uzantıların tarayıcının tam kontrolünü alması imkansız olduğu düşünülüyordu.
Squarex araştırmacıları Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy ve Pankaj Sharma, saldırganların tam bir tarayıcı ve cihaz devralma yapmak için ayrıcalıkları yükseltmek için kötü niyetli uzantıları nasıl kullanabileceğini göstererek bu inancı reddetti. Kritik olarak, kötü niyetli uzantı, yalnızca Chrome mağazasındaki tarayıcı uzantılarının çoğunda, gramer, takvil ve tezgah gibi ortak üretkenlik araçları, kullanıcıların bu izinleri vermesini duyarsızlaştırma gibi okuma/yazma özelliklerini gerektirir. Bu vahiy, neredeyse herhangi bir tarayıcı uzantısının bir saldırgan tarafından oluşturulması veya devrilmesi durumunda potansiyel olarak bir saldırı vektörü olarak hizmet edebileceğini düşündürmektedir. Anlayışımızın en iyisine göre, bu yetenekleri talep eden Chrome Store’a sunulan uzantılar, bu yazı sırasında ek güvenlik incelemesinden alınmaz.
Tarayıcı senkronizasyon saldırısı üç bölüme ayrılabilir: uzatma, saldırgan tarafından yönetilen bir profilin sessizce nasıl eklediği, tarayıcıyı kaçırır ve sonunda cihazın tam kontrolünü kazanır.
Profil kaçırma
Saldırı, bir çalışanın herhangi bir tarayıcı uzantısı kurmasıyla başlar – bu, bir AI aracı olarak maskelenen birini yayınlamayı veya toplamda milyonlarca kurulum olabilecek mevcut popüler uzantıları devralmayı içerebilir. Uzatma daha sonra “sessizce” kurbanı saldırganın Google çalışma alanı tarafından yönetilen bir krom profilinde doğrular. Tüm bunlar arka plan penceresinde otomatik bir şekilde yapılır, bu da tüm süreci kurban için neredeyse algılanamaz hale getirir. Bu kimlik doğrulama gerçekleştikten sonra, saldırgan, kurbanın tarayıcısındaki yeni yönetilen profil üzerinde tam kontrole sahiptir ve bu da güvenli tarama ve diğer güvenlik özelliklerini devre dışı bırakma gibi otomatik politikaları zorlamalarına izin verir.
Güvenilir alan adlarını kullanan çok akıllı bir sosyal mühendislik saldırısı kullanarak, düşman daha sonra kurbanın tarayıcısından şifreleri çalmak için profil kaçırma saldırısını daha da artırabilir. Örneğin, kötü niyetli uzantı, kurbanı senkronizasyonu sadece birkaç tıklamayla gerçekleştirmeye teşvik etmek için kullanıcı hesaplarının nasıl senkronize edileceği konusunda Google’ın resmi destek sayfasını açabilir ve değiştirebilir. Profil senkronize edildikten sonra, saldırganlar tüm kimlik bilgilerine ve yerel olarak depolanan tarama geçmişine tam erişime sahiptir. Bu saldırı sadece meşru sitelerden yararlandığından ve uzantı tarafından değiştirildiğine dair görünür bir işareti olmadığından, ağ trafiğini izleyen herhangi bir güvenlik çözümünde herhangi bir alarm zilini tetiklemez.
Tarayıcı devralma
Tam bir tarayıcı devralması elde etmek için, saldırganın aslında kurbanın krom tarayıcısını yönetilen bir tarayıcıya dönüştürmesi gerekiyor. Aynı uzantı, bir Zoom güncellemesi gibi meşru bir indirmeyi izler ve keser ve kurbanın krom tarayıcısını yönetilen bir tarayıcıya dönüştürmek için bir kayıt jetonu ve kayıt defteri girişi içeren saldırganın yürütülebilir dosyasıyla değiştirilir. Bir Zoom güncelleyici indirdiklerini düşünen kurban, tarayıcıya saldırganın Google çalışma alanı tarafından yönetilmesini söyleyen bir kayıt defteri girişi yükleyen dosyayı yürütür. Bu, saldırganın güvenlik özelliklerini devre dışı bırakmak, ek kötü amaçlı uzantılar yüklemek, verileri eklemek ve hatta sessizce kimlik avı sitelerine yönlendirmek için kurbanın tarayıcısı üzerinde tam kontrol sahibi olmasını sağlar. Yönetilen ve yönetilmeyen bir tarayıcı arasında görsel bir fark olmadığı için bu saldırı son derece güçlüdür. Düzenli bir kullanıcı için, mağdur son derece güvenlik farkında olmadıkça ve tarayıcı ayarlarını düzenli olarak incelemek ve alışılmadık bir Google çalışma alanı hesabı ile ilişkilendirme yolundan çıkmadıkça, ayrıcalık artışının meydana geldiğine dair bir işaret yoktur.
Cihaz Kaçırma
Yukarıdaki aynı indirilen dosya ile saldırgan ayrıca, yerel uygulamalara mesaj için kötü amaçlı uzantısı için gerekli kayıt defteri girişlerini ekleyebilir. Bu, uzantının daha fazla kimlik doğrulaması olmadan doğrudan yerel uygulamalarla etkileşime girmesini sağlar. Bağlantı kurulduktan sonra, saldırganlar, cihaz kamerasını gizlice açmak, ses yakalamak, ekranları kaydetmek ve kötü amaçlı yazılımları kurmak için yerel kabuk ve diğer mevcut yerel uygulamalarla birlikte uzantıyı kullanabilirler – esasen tüm uygulamalara ve gizli verilere tam erişim sağlar cihazda.
Tarayıcı senkronizasyon saldırısı, uzaktan yönetilen profillerin ve tarayıcıların yönetilmesinde temel bir kusur ortaya çıkarır. Bugün, herkes herhangi bir kimlik doğrulaması olmadan yeni bir alana ve tarayıcı uzantısına bağlı yönetilen bir çalışma alanı hesabı oluşturabilir ve bu saldırıları ilişkilendirmeyi imkansız hale getirebilir. Ne yazık ki, çoğu işletmenin şu anda tarayıcıya sıfır görünürlüğü vardır – çoğu tarayıcıyı veya profilleri yönetmez veya çalışanların genellikle trend araçlara ve sosyal medya önerilerine dayanarak yükledikleri uzantılar için herhangi bir görünürlük yoktur.
Bu saldırıyı özellikle tehlikeli kılan şey, minimum izinlerle ve neredeyse hiç kullanıcı etkileşimi ile çalışması, sadece güvenilir web sitelerini kullanarak ince bir sosyal mühendislik adımı gerektirmesidir – bu da çalışanların tespit etmesini neredeyse imkansız hale getirir. Cyberhaven ihlali gibi son olaylar binlerce kuruluş olmasa da yüzlerce tehlikeye girmiş olsa da, bu saldırılar nispeten karmaşık sosyal mühendisliğin faaliyet göstermesini gerektiriyordu. Bu saldırının yıkıcı derecede ince doğası – son derece düşük bir kullanıcı etkileşimi eşiğine sahip – bu saldırıyı son derece güçlü hale getirmekle kalmaz, aynı zamanda rakiplerin bu tekniği günümüzde tehlikeye atmak için zaten kullanma olasılığına ışık tutar.
Bir kuruluş, tarayıcı uzantılarını yönetilen tarayıcılar aracılığıyla tamamen engellemeyi seçmedikçe, tarayıcı senkronlama saldırısı mevcut kara listeleri ve izin tabanlı politikaları tamamen atlayacaktır. Squarex’in kurucusu Vivek Ramachandran, “Bu araştırma kurumsal güvenlikte kritik bir kör nokta ortaya koyuyor. Geleneksel güvenlik araçları bu sofistike tarayıcı tabanlı saldırıları göremiyor veya durduramıyor. Bu keşfi özellikle endişe verici kılan şey, görünüşte masum tarayıcı uzantılarını tam cihaz devralma araçlarına nasıl silahlandırdığıdır, hepsi EDRS ve SASE/SSE güvenli web geçitleri gibi geleneksel güvenlik önlemlerinin radarı altında uçar. Bir tarayıcı algılama-yanıt çözümü artık sadece bir seçenek değil, bu bir zorunluluktur. Tarayıcı düzeyinde görünürlük ve kontrol olmadan, kuruluşlar aslında ön kapılarını saldırganlara açık bırakıyor. Bu saldırı tekniği, güvenliğin neden tehditlerin gerçekte olduğu yere ‘geçmesi’ gerektiğini gösteriyor: tarayıcının kendisinde. ”
Squarex, DEF Con 32 Talk Sneaky uzantıları dahil olmak üzere tarayıcı uzantıları üzerinde öncü güvenlik araştırmaları yürütüyor: MV3 kaçış sanatçıları birden fazla MV3 uyumlu kötü niyetli uzantıları ortaya çıkardı. Bu araştırma ekibi aynı zamanda Cyberhaven ihlalinden bir hafta önce Chrome uzantısı geliştiricilerine olan OAuth saldırısını ilk keşfeden ve ifşa eden ilk kişi oldu. Squarex ayrıca, mimari kusurlardan yararlanan ve tüm güvenli web ağ geçidi çözümlerini tamamen atlayan yeni bir müşteri tarafı saldırıları sınıfı olan Last Mile yeniden montaj saldırılarının keşfinden de sorumluydu. Bu araştırmaya dayanarak, Squarex’in sektörde ilk tarayıcı algılama ve yanıt çözümü, işletmeleri, çalışma zamanında tüm tarayıcı uzantısı etkinliğinde dinamik analizler yaparak cihaz kaçırma girişimleri de dahil olmak üzere gelişmiş uzatma tabanlı saldırılara karşı korur ve işletme ve işletme genelindeki tüm aktif uzantılara bir risk puanı sağlar. savunmasız olabilecekleri saldırıları daha da tanımlamak.
Tarayıcı senkronizasyon saldırısı hakkında daha fazla bilgi için, bu araştırmadan ek bulgular şu adresten ulaşılabilir. sqrx.com/research.
Squarex Hakkında
Squarex, kuruluşların kullanıcılarına karşı gerçek zamanlı olarak gerçekleşen müşteri tarafı web saldırılarını tespit etmesine, azaltmasına ve tehdit avlamasına yardımcı olur.
Squarex’in sektörde ilk tarayıcı algılama ve yanıt (BDR) çözümü, işletme kullanıcılarının kötü amaçlı QR kodları, tarayıcı-the-the-the-the-the-the-the-the Phishing, makro tabanlı kötü amaçlı yazılım ve gibi gelişmiş tehditlere karşı korunmasını sağlayarak, tarayıcı güvenliğine saldırı odaklı bir yaklaşım benimser. Kötü amaçlı dosyaları, web sitelerini, komut dosyalarını ve tehlikeye atılan ağları kapsayan diğer web saldırıları.
Buna ek olarak, Squarex ile işletmeler, yüklenicilere ve uzak çalışanlara dahili uygulamalara güvenli erişim sağlayabilir, işletme SaaS’a ve BYOD / yönetilmeyen cihazlardaki tarayıcıların güvenilir tarama oturumlarına dönüştürülebilir.
Temas etmek
PR Başkanı
Haziran Liew
Kare
[email protected]
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!