Palo Alto, Kalifornija, ASV, 2024. gada 30. decembris, CyberNewsWire
SquareX, nozarē pirmais pārlūkprogrammas noteikšanas un reaģēšanas (BDR) risinājums, ir vadošais pārlūkprogrammas drošības jomā. Apmēram pirms nedēļas SquareX ziņoja par liela mēroga uzbrukumiem Chrome paplašinājumu izstrādātājiem, kuru mērķis bija pārņemt Chrome paplašinājumu no Chrome veikala.
2024. gada 25. decembrī Chrome veikalā tika publicēta Cyberhaven pārlūkprogrammas paplašinājuma ļaunprātīga versija, kas ļāva uzbrucējam nolaupīt autentificētas sesijas un izfiltrēt konfidenciālu informāciju. Ļaunprātīgais paplašinājums bija pieejams lejupielādei vairāk nekā 30 stundas, pirms to noņēma Cyberhaven. Datu zudumu novēršanas uzņēmums atteicās komentēt ietekmes apmēru, kad tam vērsās prese, taču uzbrukuma laikā paplašinājumam Chrome veikalā bija vairāk nekā 400 000 lietotāju.
Diemžēl uzbrukums notika, jo SquareX pētnieki bija identificējuši līdzīgu uzbrukumu ar video, kurā parādīts viss uzbrukuma ceļš tikai nedēļu pirms Cyberhaven pārkāpuma. Uzbrukums sākas ar pikšķerēšanas e-pasta ziņojumu, kas uzdodas par Chrome veikalu un kurā ir iespējams platformas izstrādātāja līguma pārkāpums, mudinot saņēmēju pieņemt politikas, lai novērstu paplašinājuma noņemšanu no Chrome veikala. Noklikšķinot uz politikas pogas, lietotājam tiek piedāvāts savienot savu Google kontu ar “Konfidencialitātes politikas paplašinājumu”, kas nodrošina uzbrucējam piekļuvi izstrādātāja konta paplašinājumu rediģēšanai, atjaunināšanai un publicēšanai.
1. attēls. Pikšķerēšanas e-pasta mērķauditorijas atlases paplašinājumu izstrādātāji
2. att. Viltus konfidencialitātes politikas paplašinājums, kas pieprasa piekļuvi izstrādātāja paplašinājuma “rediģēšanai, atjaunināšanai vai publicēšanai”.
Paplašinājumi ir kļuvuši par arvien populārāku veidu, kā uzbrucēji var iegūt sākotnējo piekļuvi. Tas ir tāpēc, ka lielākajai daļai organizāciju ir ierobežota kompetence par to, kādus pārlūkprogrammas paplašinājumus izmanto viņu darbinieki. Pat stingrākās drošības komandas parasti neuzrauga turpmākos atjauninājumus, tiklīdz paplašinājums ir iekļauts baltajā sarakstā.
SquareX ir veicis plašu izpēti un demonstrējis DEFCON 32, kā ar MV3 saderīgus paplašinājumus var izmantot, lai nozagtu video straumēšanas plūsmas, pievienotu klusu GitHub līdzstrādnieku un nozagtu sesijas sīkfailus. Uzbrucēji var izveidot šķietami nekaitīgu paplašinājumu un vēlāk pārvērst to par ļaunprātīgu paplašinājumu pēc instalēšanas vai, kā parādīts iepriekš minētajā uzbrukumā, maldināt izstrādātājus aiz uzticama paplašinājuma, lai piekļūtu paplašinājumam, kuram jau ir simtiem tūkstošu lietotāju. Cyberhaven gadījumā uzbrucēji varēja nozagt uzņēmuma akreditācijas datus vairākās vietnēs un tīmekļa lietotnēs, izmantojot paplašinājuma ļaunprātīgo versiju.
Tā kā izstrādātāju e-pasta adreses ir publiski norādītas Chrome veikalā, uzbrucēji var uzreiz mērķēt uz tūkstošiem paplašinājumu izstrādātāju. Šie e-pasta ziņojumi parasti tiek izmantoti kļūdu ziņošanai. Tādējādi pat atbalsta e-pasta ziņojumi, kas norādīti paplašinājumiem no lielākiem uzņēmumiem, parasti tiek novirzīti izstrādātājiem, kuriem var nebūt tāda līmeņa drošības izpratnes, kāds nepieciešams, lai rastu aizdomas par šādu uzbrukumu. Saskaņā ar SquareX uzbrukuma atklāšanu un Cyberhaven pārkāpumu, kas notika mazāk nekā divu nedēļu laikā, uzņēmumam ir spēcīgs iemesls uzskatīt, ka daudzi citi pārlūkprogrammas paplašinājumu nodrošinātāji tiek uzbrukti tādā pašā veidā. SquareX mudina uzņēmumus un privātpersonas rūpīgi pārbaudīt pirms pārlūkprogrammas paplašinājumu instalēšanas vai atjaunināšanas.
3. attēls. Paplašinājumu izstrādātāju kontaktinformācija ir publiski pieejama Chrome veikalā
SquareX komanda saprot, ka var nebūt triviāli novērtēt un pārraudzīt katru darbinieku pārlūkprogrammas paplašinājumu, ņemot vērā visas konkurējošās drošības prioritātes, it īpaši, ja runa ir par nulles dienas uzbrukumiem. Kā parādīts videoklipā, viltus konfidencialitātes politikas lietotne, kas bija iesaistīta Cyberhaven pārkāpumā, netika atklāta pat nevienā populārā draudu plūsmā.
SquareX pārlūkprogrammas noteikšanas un reaģēšanas (BDR) risinājums novērš šo sarežģītību drošības komandām, jo:
- OAuth mijiedarbības ar neautorizētām vietnēm bloķēšana, lai darbinieki neļautu nejauši piešķirt uzbrucējiem nesankcionētu piekļuvi jūsu Chrome veikala kontam
- Bloķēt un/vai atzīmējot visus aizdomīgos paplašinājumu atjauninājumus, kas satur jaunas, riskantas atļaujas
- Jebkuru aizdomīgu paplašinājumu bloķēšana un/vai atzīmēšana ar nepiemērotu skaitu negatīvu atsauksmju
- Sānos ielādētu paplašinājumu instalāciju bloķēšana un/vai atzīmēšana
- Racionalizējiet visus paplašinājumu instalēšanas pieprasījumus ārpus pilnvaroto saraksta, lai ātri apstiprinātu, pamatojoties uz uzņēmuma politiku
- Pilnīga visu organizācijas darbinieku instalēto un izmantoto paplašinājumu redzamība
SquareX dibinātājs Viveks Ramachandrans brīdina: “Identitātes uzbrukumi, kuru mērķis ir pārlūkprogrammas paplašinājumi, kas ir līdzīgi šim OAuth uzbrukumam, kļūs arvien izplatītāki, jo darbinieki paļaujas uz vairāk pārlūkprogrammu rīku, lai strādātu produktīvi. Līdzīgi šo uzbrukumu varianti jau iepriekš tika izmantoti, lai nozagtu mākoņdatus no tādām lietotnēm kā Google disks un One Drive, un mēs redzēsim, ka uzbrucēji kļūs radošāki, izmantojot pārlūkprogrammas paplašinājumus. Uzņēmumiem ir jāsaglabā modrība un jāsamazina piegādes ķēdes risks, neapgrūtinot darbinieku produktivitāti, aprīkojot tos ar pareizajiem pārlūkprogrammas rīkiem.
Par SquareX:
SquareX palīdz organizācijām atklāt, mazināt un meklēt draudus klienta puses tīmekļa uzbrukumiem, kas notiek pret to lietotājiem reāllaikā.
SquareX nozarē pirmais pārlūkprogrammas noteikšanas un reaģēšanas (BDR) risinājums izmanto uz uzbrukumu vērstu pieeju pārlūkprogrammas drošībai, nodrošinot uzņēmuma lietotāju aizsardzību pret tādiem progresīviem draudiem kā ļaunprātīgi QR kodi, pikšķerēšana pārlūkprogrammā pārlūkprogrammā, uz makro balstīta ļaunprātīga programmatūra, un citi tīmekļa uzbrukumi, kas ietver ļaunprātīgus failus, vietnes, skriptus un apdraudētus tīklus.
Izmantojot SquareX, uzņēmumi var nodrošināt darbuzņēmējiem un attāliem darbiniekiem drošu piekļuvi iekšējām lietojumprogrammām un uzņēmuma SaaS, kā arī pārveidot pārlūkprogrammas BYOD/nepārvaldītās ierīcēs par uzticamām pārlūkošanas sesijām.
Sazināties
PR vadītājs
Junice Liew
SquareX
[email protected]
