(https://i.postimg.cc/6pjSD3xH/Chrome-Cookies.png) (https://postimg.cc/hXmpmKjx)
El experto en seguridad informática Alexander Hagenah ha publicado una herramienta llamada Chrome-App-Bound-Encryption-Decryption para eludir la nueva función de seguridad App-Bound Encryption de Chrome, que está diseñada para proteger datos confidenciales, incluidas las cookies.
Alexander Hagenah
Perfil en X
(https://i.postimg.cc/J0VCvg8p/Alexander-Hagenah.png) (https://postimages.org/)
https://x.com/xaitax/status/1850500705074700298
Recordemos que la función App-Bound Encryption se introdujo el verano pasado, con el lanzamiento de Chrome 127. Según explicaron los desarrolladores del navegador, está diseñada para cifrar las cookies y las contraseñas guardadas mediante un servicio de Windows que funciona con privilegios del sistema. Es decir, impide que los programas maliciosos que se ejecutan con los derechos de un usuario conectado roben secretos almacenados en Chrome. Al fin y al cabo, en teoría, el malware necesitaría privilegios del sistema para saltarse dicha protección, y no sería posible obtenerlos sin que nadie se diera cuenta.
https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html
Después de que la red comenzara a hablar de que el malware había aprendido a eludir el cifrado vinculado a la aplicación, los representantes de Google dijeron a los medios que esto era algo que se esperaba. La empresa no tenía intención de crear una protección "a prueba de balas" y el cifrado vinculado a la aplicación solo estaba destinado a sentar las bases para la creación gradual de un sistema más seguro.
https://xakep.ru/2024/09/25/app-bound-encryption-bypass/
"Somos conscientes de que la nueva protección ha causado un gran revuelo entre los desarrolladores de robo de información. Como escribimos en el blog, esperamos que esta protección cambie el comportamiento de los atacantes hacia métodos de ataque más visibles, incluidas las inyecciones y el raspado de memoria. Esto es exactamente lo que estamos viendo ahora", informó Google en ese momento.
Ahora que Hagena ha publicado públicamente su solución de omisión de cifrado vinculado a la aplicación en GitHub, cualquiera puede examinar y compilar la herramienta:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption
"Esta herramienta descifra las claves de App-Bound Encryption almacenadas en el archivo de estado local de Chrome mediante el servicio IElevator basado en COM interno de Chrome", se lee en la descripción del proyecto. "La herramienta permite extraer y descifrar las claves que Chrome protege con App-Bound Encryption para evitar el acceso a datos protegidos como cookies, contraseñas y datos de pago".
Según informa Bleeping Computer, citando a un investigador de seguridad conocido como g0njxa, la herramienta de Hagena utiliza un método básico de evasión de App-Bound Encryption que la mayoría de los ladrones de información ya han superado. Sin embargo, este método todavía funciona, ya que los desarrolladores de Chrome aún no han publicado parches.
Esta información la confirman los analistas de la empresa eSentire, según los cuales, el método de Hagena es similar a los primeros métodos de evasión de la protección que utilizaron los atacantes cuando se introdujo por primera vez App-Bound Encryption.
"El Stealer Lumma utilizó este método: crear una instancia de la interfaz IElevator de Chrome a través de COM para acceder al Servicio de Elevación de Chrome para descifrar las cookies, pero es bastante "ruidoso" y se detecta fácilmente. Ahora [los piratas informáticos] utilizan el descifrado indirecto, sin interactuar directamente con el Servicio de Elevación de Chrome", afirma eSentire.
Los desarrolladores de Google dijeron a la publicación que no ven nada malo en el lanzamiento de una herramienta de este tipo. Dado que requiere derechos de administrador para funcionar, la empresa cree que han "aumentado con éxito el nivel de acceso necesario para ataques efectivos de este tipo".
Fuente:
Alexander Hagenah
https://xakep.ru/2024/10/29/chrome-app-bound-encryption-decryption/
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/