(https://i.postimg.cc/KvYj38dP/Vulnerability.png) (https://postimg.cc/4nrsrs4y)
El equipo de investigación de seguridad de SquareX, un proveedor de seguridad, ha descubierto una importante técnica de piratería que los adversarios pueden utilizar para apoderarse por completo del navegador de un usuario y, en última instancia, de todo el dispositivo.
Sin duda, las extensiones del navegador ya han sido señaladas como una amenaza crítica para la seguridad empresarial, pero la mayoría de los ataques hasta ahora han tenido que ver principalmente con la exfiltración de datos o el acceso no autorizado a aplicaciones web específicas.
Se creía que era imposible obtener el control total del navegador, y mucho menos del dispositivo, a través de una extensión del navegador debido a la forma en que se diseñaron los subsistemas de extensión.
Bueno, el equipo de SquareX ha estado tratando de desafiar esta sabiduría convencional para ver si es posible tomar el control total del navegador y del dispositivo con el syncjacking de la extensión del navegador. Y lo lograron.
La investigación de SquareX sugiere que es posible obtener el control total del navegador y luego hacer lo que sea, en lugar de centrarse en el robo de datos o el acceso a aplicaciones web específicas.
La víctima no sospecha nada
Según los investigadores, la vulneración puede ejecutarse a través de una extensión de navegador maliciosa y, alarmantemente, solo requiere permisos básicos, una interacción mínima del usuario e ingeniería social para funcionar.
SquareX dice que este es el ataque de extensión más poderoso que han descubierto hasta ahora. Representa un cambio radical en la forma en que las empresas ven las extensiones como un vector de amenaza. Además, millones de usuarios están en riesgo, dicen los investigadores.
Tal toma de control también solo requiere capacidades básicas de lectura/escritura, que están presentes en la mayoría de las extensiones. Eso, a su vez, significa que todos los usuarios de la extensión están en riesgo.
¿Cómo ocurre el secuestro de sincronización del navegador?
La primera fase es el secuestro de perfil: iniciar sesión en un perfil de Chrome administrado por el atacante.
Básicamente, crea un dominio y registra una cuenta de Google Workspace en él. Luego, crea múltiples perfiles de usuario bajo esa cuenta en particular y deshabilita las funciones de seguridad como MFA para estos perfiles.
Luego, crea una extensión de navegador funcional y la publica en Chrome Store. La extensión se utilizará posteriormente como medio para recuperar las credenciales de estos perfiles.
La ingeniería social empuja al usuario a descubrir la extensión maliciosa. Al ver que solo tiene capacidades básicas de lectura y escritura disponibles para las extensiones más populares, como Grammarly, Loom y Calendly, la víctima instala la extensión.
También funciona para que la víctima no sospeche nada malicioso y continúe con sus rutinas diarias.
No hay señales reveladoras
Pero esto es en realidad cuando la extensión se conecta al dominio del atacante y recupera las credenciales de la víctima. En otras palabras, el usuario ahora inicia sesión en un perfil administrado completamente controlado por el atacante.
Después de iniciar una sincronización de perfil, el atacante se asegura de que todos los datos almacenados localmente (contraseñas, historial de navegación, información de llenado automático) se carguen en la cuenta administrada.
A continuación, por supuesto, el atacante convierte todo el navegador en un navegador administrado controlado por el atacante. Esto se logra generando un token de inscripción para inscribir el navegador de la víctima en su espacio de trabajo administrado, lo que hace creer a la víctima que estaba instalando, por ejemplo, una actualización de Zoom y hace que descargue un archivo ejecutable.
El atacante obtiene el control total del navegador de la víctima, lo que le permite acceder de forma silenciosa a todas las aplicaciones web, instalar extensiones maliciosas adicionales, redirigir a los usuarios a sitios de phishing y monitorear o modificar las descargas de archivos.
En lo que debería ser especialmente preocupante para las empresas, el atacante también obtiene acceso a todos los archivos almacenados en Google Drive o One Drive de la empresa.
"No hay ninguna señal reveladora de que se haya producido una escalada de privilegios a menos que la víctima sea muy consciente de la seguridad y se esfuerce por inspeccionar periódicamente la configuración de su navegador y busque asociaciones con una cuenta de Google Workspace desconocida", dijo SquareX.
"Por lo tanto, es casi imposible para los usuarios identificar algo sospechoso una vez que se produce la escalada de privilegios".
Extremadamente peligroso
Por último, el atacante secuestra el dispositivo. Para ello, se necesita una entrada de registro para enviar mensajes a las aplicaciones nativas a través de la extensión del atacante. Esta se puede descargar como parte del paquete de secuestro del navegador "Zoom" o puede ser parte de una descarga posterior iniciada por el atacante una vez que secuestra el navegador.
Ayuda que el protocolo de mensajería nativa de Chrome proporcione un puente entre la extensión maliciosa y el binario local al permitirles comunicarse a través de un archivo de manifiesto registrado y llamadas API como chrome.runtime.sendNativeMessage().
Se abusa de este mecanismo legítimo para establecer una comunicación bidireccional persistente entre la extensión y el binario comprometido, evitando eficazmente el sandbox del navegador, ya que la mensajería nativa se ejecuta con permisos de usuario.
Según SquareX, este método de ataque es extremadamente peligroso porque la mayoría de las organizaciones operan sin navegadores o perfiles administrados.
No hace falta decir que el proceso es complicado, pero no para un hacker experimentado. Una vez que se logra el control del dispositivo, las capacidades del atacante se vuelven prácticamente ilimitadas, dice SquareX.
Esto se debe a que el atacante que tiene el control del dispositivo puede, por supuesto, acceder a los sistemas de archivos, modificarlos, realizar vigilancia y recopilar las credenciales (robar contraseñas, acceder a billeteras criptográficas, robar tokens de autenticación y cookies). Ahora también es posible el control remoto.
Además, por lo general no tienen visibilidad de las instalaciones de extensiones del navegador de sus empleados, que a menudo están impulsadas por herramientas de tendencias y recomendaciones de redes sociales.
E incluso con navegadores administrados, los equipos de seguridad carecen de la capacidad de detectar actividad sospechosa en tiempo de ejecución, dicen los investigadores.
"Esto es especialmente preocupante debido a la naturaleza no regulada del espacio. Hoy en día, no se requiere verificación de identidad para crear una nueva cuenta de Google Workspace o publicar extensiones en Chrome Store, ni Google realiza ninguna verificación adicional sobre las extensiones que solicitan estos permisos", dijo SquareX.
Los investigadores dijeron que se han puesto en contacto con Google para colaborar en una divulgación responsable porque el problema sólo se puede abordar con una solución nativa del navegador que comprenda el comportamiento en tiempo de ejecución de cada extensión.
Fuente:
CyberNews
https://cybernews.com/cybercrime/browser-syncjacking-new-research-chrome/