Yeni bir çalışma, Windows etki alanı ortamlarında çalışan krom tabanlı tarayıcılara özel uzantıları sessizce kurmak için bir yöntem ortaya çıkardı.
Saldırganlar, Chrome ve akrabalarının tercih dosyalarında uzatma ayarlarını ve güvenlik kontrollerini nasıl saklayarak, görünür uyarıları tetiklemeden kullanıcı tarayıcılarına keyfi kod enjekte edebilirler.
En son sürümle Chromium sürüm 130 üzerinde doğrulanan araştırma, basit bir disk yazısının standart önlemleri nasıl atlayabileceğini ve kalıcı, gizli erişim sağlayabileceğini gösteriyor.
Uzatma mekanizmasını anlamak
Krom uzantıları, bir açıklama, arka plan komut dosyaları, içerik komut dosyaları ve açılır pencereler veya seçenekler için isteğe bağlı HTML sayfaları içeren .crx dosyaları olarak paketlenir.
Yüklendiğinde, bu uzantılar girişleri kullanıcının AppData dizini altındaki JSON tercih dosyalarına kaydeder.
Etki alanına bağlı makineler standart tercihler dosyasını güncellerken, birleştirilmemiş sistemler güvenli tercihler kullanır.
Her iki dosya da yüklü uzantıları izler ve mesaj kimlik doğrulama kodları (MAC’ler) aracılığıyla bütünlüğü uygular.
Her uzatma girişi, uzantının genel anahtarından veya kurulum yolundan türetilen ve tarayıcının kaynaklarından çıkarılan bir tohum kullanılarak bir HMAC tarafından korunan benzersiz bir kimlik ile anahtarlanır.
Saldırı üç adıma bağlıdır: Uzatma Kimliğinin ön hesaplanması, doğru MAC’lerin oluşturulması ve tercih dosyalarının değiştirilmesi.
Araştırmacılar ilk olarak genel anahtarını manifestize yerleştirerek hedef uzantının kimliğini yeniden üretir.
Daha sonra HMAC tohumunu Resources.pak dosyasından çıkarırlar, hem uzantı girişi hem de geliştirici mod geçişini için geçerli MAC’leri hesaplarlar ve JSON ayarlarının üzerine yazarlar.
Bu yaklaşım, Chrome’un geliştirici modu kısıtlamalarını atlar ve kötü amaçlı uzantının başlangıçta yüklenmesini sağlar ve komut satırı –Load-extension bayrağını veya Chrome Web mağazasını kullanmadan tarayıcıyı etkili bir şekilde geri yükler.
Ekip ayrıca etki alanı politikası baypas yöntemlerini keşfetti. Saldırganlar, onaylanmış bir uzantının kimliğini taklit ederek grup politika izni verimlerini atlayabilir.
Paketlenmemiş bir uzantı, mağaza tarafından yüklenen bir kimliği paylaşırsa, Chromium yerel sürüme öncelik verir ve “uzatma stomping” i etkinleştirir.
Son olarak, yöneticilerin HKCU’da kayıt defteri anahtarları altında saklanan kendi politikaları, yüksek haklara sahip herhangi bir süreç tarafından silinebilir veya değiştirilebilir ve politika uygulanmasını tamamen etkisiz hale getirebilir.
Kırmızı ekipler için, bu teknik tarayıcı kalıcılığı kazanmak ve JavaScript’i Chromium’un sürecinde yerel olarak yürütmek için, uygulamaya bağlı şifreleme gibi korumaları yanıltmak için güvenilir bir yol sunar.
Mevcut implantlarla entegrasyon veya KOBİ tabanlı dağıtım taktiklerinin kullanımı, kontrolü birden çok ana bilgisayarda genişletebilir.
Mavi ekipler tercih dosya değişikliklerini izlemeli, beklenmedik geliştirici-modu durum değişikliklerini izlemeli ve HKCU \ Software \ politikaları \ Google \ Chrome kapsamındaki denetim kayıt anahtarları olmalıdır.
İmzasız yazılar, bu hassas yapılandırma dosyalarına yazarlar, tespit edilmemiş uzatma implantlarının önlenmesi için çok önemlidir.
Bu araştırma, kromların statik bir HMAC tohumu ve kullanıcı tarafından üretilebilir tercih dosyalarına güvenmesinde temel bir zayıflığı vurgulamaktadır.
Savunmaların güçlendirilmesi, kritik bütünlük kontrollerinin korunan sistem bileşenlerine taşınmasını veya işletim sistemi düzeyindeki şifreleme mekanizmalarının geliştirilmesini gerektirebilir.
Tarayıcılar tam teşekküllü uygulama platformlarına dönüştükçe, dahili sırlarının güvenli kalmasını sağlamak her zamankinden daha önemlidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.