Campania recentă de atacuri îndreptată împotriva extensiilor browser-ului arată că extensiile browser-ului malițioase reprezintă următoarea frontieră pentru atacurile asupra identității.
Peste 2,6 milioane de utilizatori din mii de organizații din întreaga lume au aflat asta într-un mod dificil, chiar înainte de Anul Nou, când au descoperit că cookie-urile și datele de identitate le-au fost expuse ca parte a unei campanii de atac care exploata extensiile browser-ului.
Atacul a ieșit inițial la lumină atunci când compania de securitate a datelor Cyberhaven a dezvăluit că un atacator a compromis extensia sa de browser și a injectat-o cu cod malițios pentru a fura cookie-urile și token-urile de autentificare ale utilizatorilor.
Cu toate acestea, odată ce știrea despre expunerea Cyberhaven a devenit publică, au fost descoperite rapid și alte extensii compromise. În prezent, peste treizeci și cinci de extensii de browser sunt cunoscute că au fost compromise, iar altele sunt încă în curs de descoperire.
Cele mai multe extensii compromise au publicat între timp versiuni actualizate pentru a elimina codul malițios sau au fost retrase complet din Chrome Store.
Astfel, în timp ce amenințarea imediată (cel puțin în cazul majorității extensiilor) pare să fi fost limitată, se pune accentul pe riscurile de identitate pe care le reprezintă extensiile browser-ului și lipsa de conștientizare pe care o au multe organizații în legătură cu această amenințare.
Utilizarea extensiilor browser-ului este omniprezentă în majoritatea organizațiilor. Conform datelor furnizate de LayerX, aproximativ 60% dintre utilizatorii corporativi au extensii de browser instalate pe browserele lor.
În timp ce multe extensii de browser au utilizări legitime, cum ar fi corectarea greșelilor de ortografie, găsirea de cupoane de reducere și notarea de note, ele sunt, de asemenea, frecvent acordate cu permisiuni de acces extinse la date sensibile ale utilizatorilor, cum ar fi cookie-urile, token-urile de autentificare, parolele, datele de navigare și altele.
Permisiunile extensiilor browser-ului sunt guvernate de API-uri furnizate de furnizorii de browsere precum Google, Microsoft sau Mozilla. Atunci când o extensie de browser este instalată pentru prima dată, aceasta va lista în mod obișnuit permisiunile pe care le solicită și va cere aprobarea utilizatorului (deși există unele permisiuni furnizate implicit care nu necesită aprobare explicită din partea utilizatorului).
Informațiile cheie la care extensiile pot accesa prin aceste API-uri includ:
Cookie-uri: acces pentru a citi/scrie/modifica cookie-urile utilizatorului, care pot fi folosite pentru autentificarea pe site-uri. Se pare că în acest incident, cookie-urile au fost obiectivul principal al extensiilor de browser compromise.
Identități: acces la identitatea și profilul utilizatorului
Istoricul navigării: vizualizarea istoricului de navigare al utilizatorului și vedere unde au fost
Datele de navigare: vizualizarea URL-ului pe care utilizatorul navighează și vedere toate metadatele de navigare
Parole: multe extensii au permisiuni suficiente pentru a vedea parolele în text clar pe măsură ce acestea sunt trimise către site-uri ca parte a cererilor web înainte ca sesiunea web să le cripteze
Conținutul paginii web: vizibilitate în toate datele paginii web din toate filele deschise, astfel încât poate copia potențial date din sistemul intern altfel inaccesibil online
Introducerea textului: urmărirea fiecărei apăsări de taste de pe o pagină web, la fel ca un keylogger
Captura audio/video: acces la microfonul și/sau camera computerului
Deși majoritatea extensiilor de browser nu au acces la toate aceste permisiuni, multe extensii au acces la unele (sau multe) dintre aceste permisiuni.
Într-adevăr, conform datelor LayerX, 66% dintre extensiile de browser au permisiuni de nivel ‘ridicat’ sau ‘critic’ acordate lor, iar 40% dintre utilizatori au extensii cu permisiuni de nivel ridicat/critic instalate pe computerele lor.
Compromiterea sau exploatarea malițioasă a extensiilor de browser cu astfel de permisiuni extinse poate duce la o serie de vulnerabilități și vectori de atac:
Furtul de date de autentificare: furtul identităților și/sau a parolelor înregistrate de extensie
Preluarea contului: folosind cookie-urile sau datele de autentificare furate și folosindu-le pentru a vă autentifica ca utilizatorul verificat
Răpirea sesiunii: folosind cookie-urile sau token-urile de acces pentru autentificarea sesiunii
Furtul de date: captură de date trimise către paginile web sau capturarea directă a acestora prin tastatura, microfonul sau camera utilizatorului
Organizațiile se confruntă cu riscuri și mai severe atunci când angajații instalează liber extensii de browser pe dispozitivele corporative fără supraveghere sau controale, deoarece atacatorii care fură date de autentificare corporative prin extensiile compromise pot compromite nu doar conturile personale ale utilizatorului, ci și sistemele organizaționale și pot accesa date corporative sensibile, ceea ce ar putea duce la expunerea largă a datelor.
Acest risc se amplifică în întreaga organizație pe măsură ce mai mulți angajați instalează extensii neverificate care ar putea servi ca puncte de intrare pentru furtul de date de autentificare și compromiterea ulterioară a sistemului.
Având în vedere atacurile recente îndreptate împotriva extensiilor, liderii din domeniul securității trebuie să implementeze strategii cuprinzătoare pentru a aborda acest vector de amenințare adesea neglijat. Iată cum pot organizațiile dezvolta o abordare sistematică pentru gestionarea riscurilor extensiilor de browser în întregul lor mediu:
Auditarea tuturor extensiilor: Fundamentul oricărui program de securitate al extensiilor de browser începe cu vizibilitatea cuprinzătoare. Echipele de securitate trebuie să efectueze audituri detaliate pentru a identifica toate extensiile prezente în mediul corporativ. Acest lucru se dovedește a fi deosebit de dificil în organizațiile cu politici permissive de instalare a browserelor și extensiilor, dar rămâne esențial pentru înțelegerea întregului spectru de expunere potențială.
Identificarea categoriilor cu risc: Categorizarea extensiilor reprezintă următorul pas critic, în special dată fiind modelele recente de atacuri îndreptate împotriva anumitor tipuri de extensii. Ultimele campanii au demonstrat un focus clar pe unelte de productivitate, soluții VPN și extensii legate de AI. Această direcționare nu este aleatoare – atacatorii aleg strategic categoriile de extensii care fie comandă baze de utilizatori mari (ca uneltele de productivitate) fie dețin permisiuni extinse de sistem (ca extensiile VPN care necesită drepturi de acces la rețea).
Evidențierea domeniului permisiunilor: Înțelegerea permisiunilor precise acordate fiecărei extensii oferă un context crucial pentru echipele de securitate. Această cartografiere detaliată a permisiunilor relevă la ce date și sisteme corporative poate accesa fiecare extensie. De exemplu, o extensie de productivitate aparent inofensivă ar putea avea niveluri de acces îngrijorătoare la date sensibile sau activități de navigare corporativă.
Evaluarea riscului: Evaluarea riscului devine posibilă odată ce organizațiile au mapat atât prezența extensiilor, cât și permisiunile. Un cadru eficient de evaluare ar trebui să evalueze două dimensiuni cheie: riscul tehnic (bazat pe domeniul permisiunilor și accesul potențial) și factorii de încredere (inclusiv reputația editorului, dimensiunea bazei de utilizatori și metoda de distribuție). Aceste elemente ar trebui să fie ponderate pentru a produce scoruri de risc acționabile pentru fiecare extensie.
Aplicarea controalelor: Culminarea acestui cadru constă în implementarea controalelor de securitate contextuale. Organizațiile pot crea politici subtile în funcție de apetitul lor pentru risc și cerințele operaționale. De exemplu, echipele de securitate ar putea alege să blocheze extensiile care solicită acces la cookie-uri sau să implementeze reguli mai sofisticate – cum ar fi restricționarea extensiilor AI și VPN cu risc ridicat, în timp ce permit pe cele de încredere.
În timp ce extensiile browser-ului îmbunătățesc incontestabil productivitatea la locul de muncă, campaniile de atac recente evidențiază necesitatea urgentă a măsurilor de securitate robuste. Liderii din domeniul securității trebuie să recunoască faptul că extensiile de browser neadministrare reprezintă o suprafață de atac semnificativă și în creștere.
Pentru a ajuta organizațiile să implementeze o strategie pentru securizarea extensiilor lor de browser, LayerX oferă un ghid cuprinzător privind riscurile extensiilor și măsuri acționabile pentru remedierea riscurilor generate de extensiile malițioase.
În plus, LayerX oferă o auditare gratuită a riscului extensiilor organizațiilor.
Auditarea include descoperirea extensiilor de browser instalate pe dispozitivele organizației, detectarea extensiilor compromise și remedierea activă a extensiilor malițioase.
Pentru organizațiile care s-au dovedit a fi afectate de campania de atacuri recente care a expus extensiile de browser, LayerX oferă și eforturi de remediere, cum ar fi rotirea cookie-urilor și a parolelor utilizatorilor care ar fi putut fi expuse.
Click aici pentru a vă înscrie pentru auditul gratuit.
Leave a Reply