Via een browserextensie aanvallen is al enige tijd mogelijk. Nieuw onderzoek onthult een methode waarmee kwaadwillenden vanuit de browser een geheel apparaat kunnen overnemen.
De bevindingen komen vanuit SquareX, dat al eerder de noodklok luidde over gevaarlijke extensies. Nu omschrijven de onderzoekers een methode die op het eerste gezicht erg lijkt op eerdere aanvallen, maar uiteindelijk veel meer problemen veroorzaakt.
Stille wisseltruc
De aanval vereist het installeren van een kwaadaardige extensie. Dit gebeurt al sneller dan het lijkt, want gebruikers zien soms niet dat een voorheen betrouwbare tool nog steeds is geïnstalleerd, terwijl het onderhoud ervan inmiddels is overgeheveld naar een kwaadwillende.
Vervolgens voert de extensie een stille wisseltruc uit: de gebruiker wordt automatisch ingelogd in een malafide Chrome-profiel binnen de Google Workspace van de aanvaller. Beveiligingsmiddelen zoals safe browsing worden uitgeschakeld, waarna synchronisatie van het profiel van de nietsvermoedende gebruiker de aanvaller tot ergere daden in staat stelt. Daadwerkelijk synchroniseren vergt een staaltje overtuigingskracht: SquareX benoemt het opstarten van de supportpagina van Google over het synchroniseren van browseraccounts. Gebruikers volgen een dergelijke suggestie al gauw op, waarna hun credentials opeens elders beschikbaar zijn. En dit zonder ooit een security-oplossing te hebben getriggerd, want geen enkele malafide link is hiervoor geraadpleegd.
Verdere schade
Het escaleren naar een browserovername vergt meer stappen. Zo moet de Chrome-browser van een gebruiker zijn veranderd naar een managed browser. Indien dit het geval is, kan een legitieme update van een tool als Zoom worden ingewisseld voor een nieuwe payload, merken de SquareX-onderzoekers op. Vanaf deze managed browsers kunnen aanvallers na het escaleren van hun privileges aan de slag met het apparaat van het slachtoffer.
De browserextensie kan bijvoorbeeld samenwerken met een local shell en native applicaties om de camera aan te zetten, audio/schermen op te nemen of andere kwaadaardige software te installeren. Kortom: Pandora’s doos is geopend.
SquareX stelt dat meerdere tekortkomingen tot dit gevaar van ‘syncjacking’ leiden. Zo zouden managed browsers te onderscheiden moeten zijn van normale browsers, iets dat zelfs voor een leek te herkennen is. Ook kan iedereen een Workspace-account koppelen aan een nieuw domein zonder een vorm van authenticatie. Daarbovenop is de browser een bijzonder kwetsbaar onderdeel voor organisaties, omdat er weinig inzicht in is. Extensies zijn doorgaans niet te tracken met de tools die zakelijke pc’s normaliter geïnstalleerd hebben. En het ergste: de getroffen gebruiker merkt helemaal niets van een aanval tot het te laat is.
Het gevolg hiervan is dat er een blinde vlek is ontstaan voor enterprise-security, aldus SquareX-oprichter Vivek Ramachandran. “Traditionele securitytools kunnen deze geavanceerde browsergebaseerde aanvallen simpelweg niet zien of stoppen. Wat deze ontdekking bijzonder alarmerend maakt, is de manier waarop schijnbaar onschuldige browserextensies worden bewapend tot complete hulpmiddelen om apparaten over te nemen, terwijl ze onder de radar van conventionele beveiligingsmaatregelen zoals EDR’s en SASE/SSE Secure Web Gateways blijven. Een Browser Detection-Response oplossing is niet langer slechts een optie – het is een noodzaak. Zonder zichtbaarheid en controle op browserniveau zetten organisaties hun voordeur wagenwijd open voor aanvallers. Deze aanvalstechniek laat zien waarom beveiliging moet opschuiven naar de plaats waar de bedreigingen daadwerkelijk plaatsvinden: in de browser zelf.”
Lees ook: Chrome-extensies blijven gevaarlijk, ook na Google’s Manifest V3