Siber güvenlik araştırmacıları, Google Chrome’un çok iyi işlenmiş applodie şifrelemesini başarıyla atlayan “C4 bombası” (Chrome Cookie Cipher Cracker) olarak adlandırılan yeni bir saldırıyı tanıttı.
Bu atılım, milyonlarca kullanıcıyı, Google’ın Infostealer kötü amaçlı yazılımlara karşı son Chrome’u sertleştirme çabalarına rağmen, çerez hırsızlığı, kimlik bilgisi uzlaşma ve potansiyel veri ihlalleri risklerini yeniliyor.
Appbound kurabiye şifrelemesi
Temmuz 2024’te Google, tarayıcı çerezlerini hedefleyen bir kötü amaçlı yazılım dalgasını engellemeyi amaçlayan Chrome sürüm 127 ile appbound kurabiye şifrelemesini sundu.
Cyberark raporuna göre, yeni koruma çift katmanlı bir şifreleme mekanizması ekledi: Çerezler önce oturum açılan kullanıcının Windows Veri Koruma API’sını (DPAPI) kullanılarak şifrelendi ve sonra tekrar sistem hesabının DPAPI’sini kullandı.
Çerezlerin şifresini çözmek için Chrome, görevi, meşru krom işleminden kaynaklanan taleplerin teorik olarak engellediği, hassas verilere erişmesini teorik olarak engelleyen ayrıcalıklı bir COM sunucusuna (“Yükseklik Servisi”) devredildi.
Bu katmanlı savunmalara rağmen, araştırmacılar şifreleme akışında kritik bir güvenlik açığı keşfettiler. Bir olarak bilinen klasik bir şifreleme zayıflığından yararlanarak Pilding Oracle SaldırısıC4 bombası, saldırganların-sadece düşük ayrı erişimi olanların bile korunan çerez bloblarının sistematik olarak şifresini çözmesine izin verir.
Saldırı, DPAPI’nin doğru dolguyu tahmin etmek ve şifrelenmiş verileri yavaş yavaş kurtarmak için Windows olay günlüklerini “Oracle” olarak kullanarak DPAPI’nin dolgu ve hata raporlamasını nasıl ele aldığı konusunda ince kusurlardan yararlanıyor1.
C4 tekniği, yükseklik hizmetine şifrelenmiş çerez anahtarının değiştirilmiş sürümlerinin tekrar tekrar gönderilmesini ve ortaya çıkan hata mesajlarını gözlemlemeyi içerir.
Binlerce yineleme, saldırgan sistem şifreli anahtarı yeniden yapılandırabilir, ardından son çerez anahtarını elde etmek ve yönetici haklarına ihtiyaç duymadan tüm depolanmış çerezlere erişmek için standart kullanıcı düzeyinde şifre çözme kullanabilir.
C4 bombasının halkın ifşası, Infostealer kötü amaçlı yazılımların Chrome’un yeni korumalarına adapte olduğu hızlı hızla ilgili artan endişe kaynağıdır.
Son aylar, doğrudan işlem enjeksiyonundan ayrıcalık artış kusurlarından yararlanmaya kadar değişen teknikleri kullanarak Lumma, Meduza, Vidar ve Whitesnake gibi çeşitli kötü amaçlı yazılım ailelerinin kendi bypass’larını geliştirdiğini gördü.
C4 saldırısını otomatikleştiren açık kaynaklı araçların piyasaya sürülmesi, riski daha da artırdı, bu da gelişmiş çerez hırsızlığı daha az karmaşık tehdit aktörleri için erişilebilir hale getirdi ve Google ve daha geniş güvenlik topluluğunun yeni karşı önlemler geliştirme aciliyetini artırdı.
Bir Chrome Güvenlik Mühendisi zorluğu kabul etti: “Kötü amaçlı yazılım manzarası sürekli olarak geliştikçe, güvenlik topluluğundaki başkalarıyla tespitleri iyileştirmek ve herhangi bir bypass için işletim sistemi korumalarını güçlendirmek için devam etmek istiyoruz”.
C4 bomba saldırısı, tarayıcı geliştiricileri ve siber suçlular arasında devam eden kedi ve fare oyununu vurgular.
Appbound şifreleme saldırganlar için çıtayı yükseltmesine rağmen, son araştırma, sofistike korumaların bile yaratıcı kriptografik saldırılarla zayıflatılabileceğini gösteriyor.
Kullanıcılar – özellikle işletmeler – uyanık kalmaya, güvenlik araçlarını güncellemeye ve daha sağlam savunmalar yapılana kadar tarayıcılarda hassas kimlik bilgilerini saklamaktan kaçınmaya çağırılır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin