Un cercetător a lansat un instrument pentru a ocoli noile apărări împotriva furtului de module cookie de criptare a lui Google și pentru a extrage datele de autentificare salvate din browserul web Chrome.
Instrumentul, numit ‘Chrome-App-Bound-Encryption-Decryption’, a fost lansat de cercetătorul în securitate cibernetică Alexander Hagenah, după ce a observat că alții au descoperit deja metode similare de ocolire.
Chiar dacă instrumentul realizează ceea ce multiple operațiuni de furt de informații au adăugat deja la malware-urile lor, disponibilitatea publică crește riscul pentru utilizatorii Chrome care continuă să stocheze date sensibile în browserele lor.
Google a introdus criptarea Application-Bound (App-Bound) în luna iulie (Chrome 127) ca un mecanism nou de protecție care criptează modulele cookie folosind un serviciu Windows care rulează cu privilegii de SYSTEM.
Scopul era de a proteja informațiile sensibile de malware-ul de furt de informații, care rulează cu permisiunile utilizatorului autentificat, făcând imposibilă decriptarea modulelor cookie furate fără a obține mai întâi privilegii de SYSTEM și posibil să ridice alarme în software-ul de securitate.
„Deoarece serviciul App-Bound rulează cu privilegii de sistem, atacatorii trebuie să facă mai mult decât să convingă un utilizator să ruleze o aplicație malitioasă,” a explicat Google în iulie.
„Acum, malware-ul trebuie să obțină privilegii de sistem sau să injecteze cod în Chrome, ceva ce un software legitim nu ar trebui să facă.”
Cu toate acestea, până în septembrie, mai multe furturi de informații au găsit modalități de a ocoli noua caracteristică de securitate și de a oferi clienților lor cibernetici abilitatea de a fura și decripta din nou informații sensibile din Google Chrome.
Google a declarat pentru BleepingComputer că jocul „pisica și șoarecele” dintre dezvoltatorii de malware și inginerii săi a fost întotdeauna așteptat și că niciodată nu au presupus că mecanismele lor de apărare ar fi fost la fel de puternice.
În schimb, cu introducerea criptării App-Bound, ei sperau că în cele din urmă vor pune bazele pentru construirea treptată a unui sistem mai solid. Mai jos este răspunsul Google din acea perioadă:
„Suntem conștienți de perturbarea pe care această nouă apărare a cauzat-o peisajului de furt de informații și, așa cum am declarat în blog, ne așteptăm ca această protecție să determine o schimbare în comportamentul atacatorilor către tehnici mai observabile, cum ar fi injectarea sau raclarea memoriei. Aceasta se potrivește cu noul comportament pe care l-am observat.”
„Continuăm să lucrăm cu producătorii de sisteme de operare și antivirus pentru a încerca și a detecta mai fiabil aceste noi tipuri de atacuri, precum și continuând să iterăm pe consolidarea apărărilor pentru a îmbunătăți protecția împotriva furtului de informații pentru utilizatorii noștri.” – Un purtător de cuvânt Google
Ieri, Hagenah a făcut instrumentul său de ocolire a criptării App-Bound disponibil pe GitHub, împărtășind codul sursă care le permite oricui să învețe și să compileze instrumentul.
„Acest instrument decriptează cheile criptate App-Bound stocate în fișierul Local State al lui Chrome, folosind serviciul IElevator intern al lui Chrome bazat pe COM,” se arată în descrierea proiectului.
„Instrumentul oferă o modalitate de a recupera și decripta aceste chei, pe care Chrome le protejează prin criptarea App-Bound Encryption (ABE) pentru a preveni accesul neautorizat la date securizate precum modulele cookie (și potențial parole și informații de plată în viitor).”
Pentru a folosi instrumentul, utilizatorii trebuie să copieze executabilul în directorul Google Chrome, de obicei situat la C:\Program Files\Google\Chrome\Application. Acest director este protejat, astfel încât utilizatorii trebuie să obțină mai întâi privilegii de administrator pentru a copia executabilul în acel director.
Cu toate acestea, acest lucru este ușor de realizat de obicei, deoarece mulți utilizatori Windows, în special consumatorii, folosesc conturi care au privilegii de administrator.
În ceea ce privește impactul său real asupra securității Chrome, cercetătorul g0njxa a declarat pentru BleepingComputer că instrumentul lui Hagenah demonstrează o metodă de bază pe care majoritatea furturilor de informații au depășit-o acum pentru a fura module cookie din toate versiunile Google Chrome.
Analistul de malware eSentire, Russian Panda, a confirmat, de asemenea, pentru BleepingComputer că metoda lui Hagenah pare similară cu abordările timpurii de ocolire pe care le-au adoptat furturile de informații când Google a implementat inițial criptarea App-Bound în Chrome.
„Lumma a folosit această metodă – instantiind interfața Chrome IElevator prin COM pentru a accesa Serviciul de Elevation al lui Chrome pentru a decripta modulele cookie, dar acest lucru poate fi destul de zgomotos și ușor de detectat,” a declarat Russian Panda pentru BleepingComputer.
„Acum, ei folosesc decriptarea indirectă fără a interacționa direct cu Serviciul de Elevation al lui Chrome”.
Cu toate acestea, g0njxa a comentat că Google încă nu a ajuns la zi, astfel încât secretele utilizatorilor stocate în Chrome pot fi ușor furate folosind noul instrument.
În răspuns la lansarea acestui instrument, Google a împărtășit următoarea declarație cu BleepingComputer:
„Acest cod [xaitax] necesită privilegii de administrator, ceea ce arată că am reușit să creștem nivelul de acces necesar pentru a reuși să duci la bun sfârșit acest tip de atac,” a declarat Google pentru BleepingComputer.
Deși este adevărat că sunt necesare privilegii de administrator, nu pare să fi afectat operațiunile malware de furt de informații, care au crescut doar în ultimele șase luni, vizând utilizatorii prin vulnerabilități zero-day, soluții false pentru probleme GitHub, chiar și răspunsuri pe StackOverflow.
Leave a Reply