Düşük ayrıcalıklı saldırganların, kullanıcı çerezlerini Infostealer kötü amaçlı yazılımlardan korumak için Temmuz 2024’te tanıtılan bir güvenlik özelliği olan Chrome’un uygulama çerez şifrelemesini çözmesine izin veren kritik bir güvenlik açığı.
C4 (Chrome Cookie Cipher Cracker) olarak adlandırılan saldırı, Windows Veri Koruma API (DPAPI) şifreleme sistemine karşı bir dolgu Oracle saldırısı kullanıyor.
Summary
1. Researchers developed "C4" attack bypassing Chrome's AppBound Cookie Encryption security feature.
2. Exploits Microsoft DPAPI weakness using error message analysis to decrypt cookies without admin privileges.
3. Requires automated 16-hour process to systematically crack cookie encryption.
4. Google implemented partial solution in June 2025, disabled by default pending full fix.
C4 Saldırısı, Chrome’un uygulama şifrelemesini atlar
C4 saldırısı, Infostealer kötü amaçlı yazılımlarla mücadele etmek için CHROME’un Temmuz 2024’te Google tarafından tanıtılan uygulamalı şifreleme özelliğini hedefliyor.
.png
)
Bu güvenlik mekanizması, çift katmanlı bir DPAPI sistemi kullanarak çerezleri şifreler: Önce User-DPAPI ile, daha sonra System-DPAPI ile, teorik olarak yalnızca sistem düzeyinde işlemlere erişimi kısıtlar.
Cyberark, kurabiye şifre çözme isteklerini işleyen sistem olarak çalışan bir COM sunucusu olan Yükseklik Servisi’nin yanlışlıkla bir dolgu kehanet güvenlik açığı oluşturduğunu bildiriyor.
Saldırı, DPAPI tarafından kullanılan PKCS7 dolgu ile birlikte AES-CBC şifreleme modundan yararlanır.
Yükseklik hizmeti, kurcalamalı şifreleme metnini şifresini çözmeye çalıştığında, Windows olay görüntüleyicisinde dolgu geçerliliğine bağlı olarak farklı hata mesajları üretir – geçersiz dolgu için “bilinmeyen”, geçerli dolgu ancak yanlış imzalar için “MAC kontrolü başarısız”.
Bu diferansiyel tepki, saldırganların tekrarlanan sorgularla sömürebileceği bir dolgu oluşturur.
CipHerText bloklarını sistematik olarak değiştirerek ve hata yanıtlarını analiz ederek, C4 saldırısı dış sistem-DPAPI katmanını şifresini çözebilir ve iç kullanıcı-DPAPI blobunu, düşük ayrıcalıklı işlemlerin standart CryptunprotectData çağrılarını kullanarak şifresini çözebileceğini ortaya çıkarabilir.
Pilding Oracle saldırısı, tamamlanması yaklaşık 16 saat gerektirir ve dolgu doğrulama yanıtları için Windows olay günlüklerini izlerken yükseklik hizmetine çok sayıda IPC isteği yapılır.
Her tahmin, genişletilmiş zaman dilimine katkıda bulunan dosya okuma/yazma işlemleri ve çoklu işlemler arası iletişim alışverişlerini içerir.
Saldırı, CBC Modu’un bit kaydırma güvenlik açığından yararlanır, burada CipHerText Block CN’yi değiştirme, düz metin bloğu PN+1’i XOR işlemlerine göre değiştirir.
Araştırmacılar, Chrome’un doğrulama verilerinde yürütülebilir yolunu sahte olarak doğrudan bit kaydırma saldırıları denerken, DPAPI’nin imza doğrulaması bu yaklaşımı engelledi.
Ek olarak, araştırmacılar, yükseklik hizmetini var olmayan ikili dosyalara yönlendirerek Chrome’u eski şifreleme yöntemlerine geri dönmeye zorlayan daha basit bir COM kaçırma tekniği keşfettiler.
Bu yaklaşım daha az teknik karmaşıklık gerektirir, ancak daha önce şifreli kurabiyelerin kaybına neden olur.
Uygulanan kısmi düzeltme
Aralık 2024’te sorumlu açıklamanın ardından Google, güvenlik açığını kabul etti ve Şubat 2025’e kadar “kabul edilen” statüye taşıdı.
23 Haziran 2025 itibariyle Google, varsayılan olarak devre dışı kalmasına rağmen Chrome’da kısmi bir çözüm uyguladı. Gelecekteki sürümler için kapsamlı bir düzeltme planlanıyor.
Microsoft, sorunun “düşük pratik sömürülebilirlik” nedeniyle güvenlik düzeltme kriterlerini karşılamadığını belirterek temel DPAPI güvenlik açığını ele almayı reddetti.
Saldırı, eski güvenlik mekanizmalarının yeni yollarla birleştirilmesinin, dikkatli bir kriptografik uygulama incelemelerine olan ihtiyacı vurgulayarak beklenmedik güvenlik açıkları yaratabileceğini gösteriyor.
Araştırma, CBC şifreleme modu güvenliği ile ilgili daha geniş endişelerin altını çiziyor ve uzmanlar, çeşitli protokollerde tekrarlanan dolgu gösterilerinin ardından CBC’yi tamamen kaldırmanın zamanı olabileceğini öne sürüyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi