Noel Arifesi kimlik avı saldırısı, bilinmeyen bir tarafın bir Cyberhaven çalışanının Google Chrome Web Mağazası hesabını ele geçirmesiyle sonuçlandı ve Cyberhaven’ın Chrome uzantısının kötü amaçlı bir sürümünü yayınlamak. Sorunlu uzantı, keşfedildikten sonra bir saat içinde kaldırılsa da, kötü niyetli etkinlik, çoğu kuruluşta tarayıcı güvenliğindeki boşlukları ve uzantı zehirlenmesinin kalıcı bir sorun olması beklendiğinden soruna hemen müdahale edilmesi gerekliliğini vurguluyor.
Olayla ilgili daha fazla araştırma Uzmanlar, bu saldırının muhtemelen birden fazla uzantı geliştiricisini kötü amaçlı uzantıları dağıtmak için hedefleyen iki ayrı ancak potansiyel olarak ilişkili kampanyanın parçası olduğunu öne sürüyor. Kampanyalar Nisan 2023 gibi erken bir tarihte başlamış olabilir.
Üçüncü taraf uzantı güvenliği platformu sağlayıcısı Extension Total’in CEO’su Amit Assaraf, “Şu anda farklı hedefleri hedefleyen iki farklı kampanyayı biliyoruz” diyor. Uzatma Toplamı araştırmacıları açıkta birçok kötü amaçlı uzantılar Geçtiğimiz birkaç hafta boyunca birbirleriyle nasıl ilişki kurduklarını inceledik.
İki Kampanyanın Hikayesi
Bir kampanya, çerezleri, oturum belirteçlerini ve muhtemelen şifreleri çalan uzantılar oluşturdu ve Facebook ve OpenAI hesapları var, diyor Assaraf. Kampanya, uzantı geliştiricilerini hedeflemek için kimlik avına ve Google Chrome Web Mağazası hesaplarını ele geçirmek için kötü amaçlı bir OAUTH uygulamasına dayanıyordu. Cyberhaven bu kampanyanın kurbanlarından biriydi.
Bu kampanyayla ilişkili ilk kötü amaçlı uzantının ne zaman ortaya çıktığı konusunda uzmanlar arasında bazı anlaşmazlıklar var. Assaraf Chrome uzantısına işaret ediyor “OpenAI ile GPT 4 Özeti,” Ağustos ayında Google Chrome Web Mağazası’na eklendi. Tarayıcı uzantısı yönetim hizmeti Secure Annex’in kurucusu John Tuckner, “Yapay Zeka Asistanı – Chrome için ChatGPT ve GeminiMayıs ayında Chrome Web Mağazası’na yüklenen “uzantısı, bu kampanyanın kullandığı ilk uzantı oldu.
Tuckner, “Anlayabildiğim kadarıyla bu, bu tür bir kodun kullanıldığı ilk örnek, ancak ilgili alan adı kayıtlarından bazıları 25 Eylül 2023 civarına kadar uzanıyor, dolayısıyla bu bir süredir planlanmış olabilir.” diyor.
Her iki uzantı da artık Chrome Web Mağazası’nda bulunmuyor.
Bu kampanya ne zaman başlarsa başlasın, etkisi oldukça yaygın oldu. Assaraf, araştırmacıların şu ana kadar bununla ilgili 1,46 milyon kullanıcıyı etkileyen 22 uzantı bulduğunu söylüyor. Bunlardan bazıları Chrome Web Mağazası’ndan tamamen kaldırıldı, diğerleri ise “güvenli” bir sürüme güncellendi.
Assaraf, ikinci kampanyanın “muhtemelen bu verileri satma niyetiyle” kullanıcı etkinliğini, telemetriyi ve ziyaret edilen siteleri izlemeyi amaçladığını söylüyor. İlk ortaya çıkışı Nisan 2023’te gerçekleşti ve araştırmacılar şu ana kadar bu kampanyaya ait 15 uzantı tespit etti.
Bir Google sözcüsü, şirketin bu soruşturma kapsamında tespit edilen kötü amaçlı Chrome Web Mağazası hesaplarını kapattığını ve mağazada hâlâ mevcut olan uzantılarla ilgili Extension Total’den gelen raporları araştırmaya devam ettiğini söyledi.
Şu anda her iki kampanyanın arkasında bir saldırganın olup olmadığı belli değil, ancak Bugcrowd’un kurucusu Casey John Ellis, “senkronize bir kampanya” öneren, Ağustos 2024 ile Aralık 2024 arasında yetkisiz güncellemelere paylaşılan JavaScript yüklerinin enjekte edildiğine dair kanıtlar bulunduğunu söylüyor.
“Bu aynı zamanda ele geçirilen geliştirici hesapları üzerinde merkezi kontrole ve ortak bir tehdit aktörüne de işaret ediyor” diyor.
Bu noktada her iki kampanya da kontrol altında görünüyor; Assaraf’a göre hiçbir ek uzantı keşfedilmedi.
Saldırganlar için Alçakta Asılı Meyve Olarak Uzantılar
Cyberhaven’in iç güvenlik ekibi ihlale hızlı bir şekilde yanıt verebildi ve bu da uzantı zehirlenmesinin boyutunun ortaya çıkmasına yardımcı oldu. Etkilenen uzantıların çoğu hobi amaçlı projelerdir; bu da, kötü amaçlı yazılımlara karşı düzenli olarak izlenebilecek araçlara veya güvenlik desteğine sahip olmadıkları anlamına gelir.
Kötü amaçlı yazılımları tespit etme ikilemi burada yatıyor Chrome uzantıları uzmanlar vahşi doğada olduğunu söylüyor. Ayrıca, kurumsal bir tarayıcıda kullanılan uzantıların güvenli olmasını sağlamanın neden kuruluşların gezinmesi açısından bu kadar zorlu bir senaryo olduğunu da açıklıyor. Bazıları, uzantıların temiz kalmasını sağlamak için özel ekiplere sahip şirketler tarafından yönetilirken, birçoğunun bakımı özel kişiler tarafından yapılıyor ve dolayısıyla bu tür bir gözetim bulunmuyor.
O kurumsal ortamda güvenliği karmaşıklaştırır Vulnerable U güvenlik araştırmacısı Matt Johansen’e göre Chrome gibi tarayıcılar, uzantılara hassas kullanıcı verilerine erişim, çerezler ve hatta kimlik bilgilerini ve oturumları yakalama yeteneği de dahil olmak üzere geniş izinler veriyor.
Johansen, “Uzantılar hala önemli derecede bir güvenle çalışıyor ve bir kez tehlikeye atıldığında kullanıcının erişebildiği her şeye erişebilirler” diyor. “Ayrıca kuruluşlarda bile geleneksel masaüstü yazılımlara göre kurulumları daha az inceleme gerektirir.”
Bu kadar çok kullanıcının güvenliğini tehlikeye atma ve bir tarayıcı uzantısını zehirleyerek çok fazla bilgiye erişim sağlama yetenekleri nedeniyle, saldırganlar için bu çok basit bir işlemdir.
Menlo Security’nin baş güvenlik mimarı Lionel Litty de aynı fikirde: “Bir uzantıyı kontrol etmek, düşmana tüm tarayıcı etkinlikleri için güçlü bir bakış açısı sağlar.”
Assaraf, gerçekten de bir Chrome uzantısını zehirlemenin “saldırganların kötü amaçlı kod yayması için çok uygun bir yol” olduğunu ekliyor. “Yalnızca bir kişiyi, bir geliştiriciyi kandırmanız yeterli ve yüzbinlerce makineye erişim elde edersiniz” diyor.
İnsanlar sıklıkla tarayıcı uzantıları yüklediklerini unutuyor, ancak bunlar arka planda çalışmaya ve otomatik olarak güncellenmeye devam ederek saldırganlara hassas verilere geniş erişim olanağı sağlıyor, diye ekliyor.
Tarayıcı Güvenlik Açığının Kapatılması
Peki, erişimleri göz önüne alındığında, bir kuruluşun güvenlik duruşu söz konusu olduğunda neden tarayıcılara ve uzantılarına bu kadar az önem veriliyor? Secure Annex’ten Tuckner, bunun nedeninin güvenlik ekiplerinin sorumluluklarla o kadar bunalmış olması, tarayıcıları en az endişelendiriyor olması olabileceğini belirtiyor; ancak bu durum artık değişebilir.
Kuruluşların artık kurumsal tarayıcılarda çalışan uzantıların güvenliğini artırmak için belirli adımlar atabileceğini söylüyor. Ekipler, kuruluştaki tarayıcıların ve bunlara hangi uzantıların yüklü olduğunun gerçek zamanlı bir envanterini toplayarak başlamalıdır. Bu adımı, tarayıcıların bir tür merkezi yönetime kaydedilmesi takip etmelidir. izin verilenler listesi Tuckner, bilinen uzantıların yalnızca “temel iş değerini artıran” uzantıları koruduğunu ve duruma göre gelecekteki uzantıların eklendiğini ekliyor. Envanter, bir olay meydana geldiğinde güvenlik ekiplerinin olayın kapsamını anlamasına yardımcı olacak.
“Çok az ekip uğraşmaları gereken diğer her şeyin üstünde tarayıcı güvenliğine öncelik vermeyi seçiyor veya bunu yapabiliyor” diyor. “Birçok kişi tarayıcı güvenliğini daha düşük riskli bir öğe olarak görüyor, ancak bunun gibi olaylarla bu durumun hızla değiştiğine inanıyorum.”