[Информационная безопасность] Security Week 06: кража данных через синхронизацию Google Chrome
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Хорватский исследователь Боян Здрня (Bojan Zdrnja) обнаружил интересный метод эксфильтрации данных через средства синхронизации, встроенные в браузер Google Chrome. Функция Chrome Sync позволяет синхронизировать сохраненные пароли, закладки и историю посещения веб-сайтов между компьютерами, использующими общую учетную запись Google.
В описании атаки Здрня приводит следующую последовательность действий. Получив доступ к компьютеру жертвы, злоумышленник включает режим разработчика в Google Chrome, что позволяет загрузить расширение для него локально, а не через магазин. Таким образом в браузер подгружается вредоносное расширение, замаскированное под плагин защитного продукта.
В коде самого расширения исследователь описывает стандартный метод взаимодействия с облачной инфраструктурой Google, который позволяет «обмениваться» произвольными данными между двумя браузерами. То есть предположительно атака выглядела так: взламываем компьютер, устанавливаем вредоносное расширение, авторизуем браузер под одноразовой учетной записью Google. На стороне атакующего достаточно залогиниться под той же учетной записью, чтобы получить данные с компьютера жертвы.
Что именно передавалось таким образом, эксперт не раскрывает, но указывает ограничения метода: максимальный размер «ключей», передаваемых через инфраструктуру Google Chrome, не может превышать 8 Кбайт, а их максимальное количество — 512. То есть за одну сессию можно передать 4 Мбайт данных. Для управления зараженным компьютером, а также для передачи токенов для доступа к корпоративным облачным сервисам этого вполне достаточно.
Здрня особо отмечает, что на пострадавшей системе не было другого вредоносного софта. Просто так перекрыть обращение к облачной инфраструктуре Google на уровне политик корпоративной сети не получится: на них завязано не только облако, но и, например, проверка наличия доступа к сети в браузере. В качестве решения исследователь предлагает применение политик, запрещающих установку в браузер любых расширений, кроме отмеченных в белом списке. Такой оригинальный метод взаимодействия с атакуемой системой можно не замечать долгое время — это откроет злоумышленникам путь к корпоративным данным, которые в нормальных условиях доступны через браузер. В большинстве случаев это может быть и корпоративная почта, и средства совместной работы над документами, и многое другое.
Что еще произошло
История с атакой на экспертов в области информационной безопасности (см. предыдущий дайджест) получила продолжение. В браузере Google Chrome обнаружили и закрыли zero-day уязвимость в движке V8. Хотя разработчики из Google не дают комментариев на этот счет, есть предположение, что именно ее использовали организаторы атаки. Кроме того, южнокорейские специалисты нашли еще один вектор той же атаки: жертвам рассылали файлы .mhtml с вредоносным кодом, эксплуатирующим ранее неизвестную уязвимость в Internet Explorer 11. Файл якобы содержал информацию об уязвимости в браузере Google Chrome 85.
Компания Netscout со ссылкой на китайских исследователей из Baidu Labsсообщает о новом методе амплификации DDoS-атаки с помощью некорректно сконфигурированного медиасервера Plex.
Извините, данный ресурс не поддреживается. :(
В треде по ссылке выше исследователь под никнеймом OverSoft рассказывает о плохо защищенной IP-видеокамере с функцией подсчета людей. Рассказ начинается с несменяемого идентификатора WiFi-сети и пароля к ней, и дальше становится только печальнее. Внутри камеры обнаружен Raspberry Pi Compute Module с дефолтным пользователем pi, документами, оставшимися от разработчика (включая mp3-файл) и кучей кода на Python. В итоге получается устройство, которое по идее подключается к корпоративной сети с фактически незащищенным WiFi и возможностью получить полный доступ к аккаунту со стандартным паролем и максимумом привилегий.
Команда Google Project Zeroпубликует обзор zero-day уязвимостей, использовавшихся в реальных атаках в прошлом году. Из 24 дыр восемь используют новый метод эксплуатации уже известной проблемы. Вывод: можно несколько усложнить жизнь злоумышленникам, если закрывать уязвимости после подробного анализа причины так, чтобы решенную проблему нельзя было вскрывать повторно.
Более месяца назад, 4 января, произошел серьезный сбой в мессенджере Slack. По результатам инцидента опубликован подробный отчет. Падение произошло по совокупности причин: в первый после праздников рабочий день в большинстве стран пользователи нагружали инфраструктуру больше, чем нужно, а средство автоматического масштабирования мощностей в Amazon Web Services не сработало так, как требовалось.
Исследование вредоносной программы Kobalos для Linux-систем раскрывает необычную цель атаки: суперкомпьютеры.
Новый пример атаки на цепочку поставок: исследователи из ESET нашли зараженное ПО NoxPlayer (эмуляция Android-приложений), распространявшееся прямо с сайта разработчика.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка под Android, Монетизация мобильных приложений, Контекстная реклама] Приложение Barcode Scanner в Google Play заразило 10 млн пользователей одним обновлением
- [Браузеры, История IT, Процессоры, IT-компании] В версии 89 из Chrome исчезнет поддержка x86 процессоров без SSE3
- [Информационная безопасность] Борьба с инсайдерской угрозой на примере Among Us (перевод)
- [Информационная безопасность, Google Chrome, Браузеры] Режим инкогнито от Google и других браузеров: красивая игра слов и немножко обмана
- [Информационная безопасность, Open source, Распределённые системы, Социальные сети и сообщества, Криптовалюты] aSocial — полностью распределенная социальная сеть
- [Информационная безопасность, JavaScript, История IT, Софт, IT-компании] Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов
- [Firefox, Разработка веб-сайтов, Open source, Google Chrome, Браузеры] Невменяемый, необъятный масштаб браузеров (перевод)
- [Информационная безопасность, Разработка под Android] Как root-права и альтернативные прошивки делают ваш android смартфон уязвимым
- [Google Chrome, HTML, Браузеры] Браузерные войны 2021 (перевод)
- [Информационная безопасность, Open source, Google API, Софт] Google запустила программу поиска уязвимостей в открытых проектах
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_chrome, #_chromesync, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:35
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Хорватский исследователь Боян Здрня (Bojan Zdrnja) обнаружил интересный метод эксфильтрации данных через средства синхронизации, встроенные в браузер Google Chrome. Функция Chrome Sync позволяет синхронизировать сохраненные пароли, закладки и историю посещения веб-сайтов между компьютерами, использующими общую учетную запись Google. В описании атаки Здрня приводит следующую последовательность действий. Получив доступ к компьютеру жертвы, злоумышленник включает режим разработчика в Google Chrome, что позволяет загрузить расширение для него локально, а не через магазин. Таким образом в браузер подгружается вредоносное расширение, замаскированное под плагин защитного продукта. В коде самого расширения исследователь описывает стандартный метод взаимодействия с облачной инфраструктурой Google, который позволяет «обмениваться» произвольными данными между двумя браузерами. То есть предположительно атака выглядела так: взламываем компьютер, устанавливаем вредоносное расширение, авторизуем браузер под одноразовой учетной записью Google. На стороне атакующего достаточно залогиниться под той же учетной записью, чтобы получить данные с компьютера жертвы. Что именно передавалось таким образом, эксперт не раскрывает, но указывает ограничения метода: максимальный размер «ключей», передаваемых через инфраструктуру Google Chrome, не может превышать 8 Кбайт, а их максимальное количество — 512. То есть за одну сессию можно передать 4 Мбайт данных. Для управления зараженным компьютером, а также для передачи токенов для доступа к корпоративным облачным сервисам этого вполне достаточно. Здрня особо отмечает, что на пострадавшей системе не было другого вредоносного софта. Просто так перекрыть обращение к облачной инфраструктуре Google на уровне политик корпоративной сети не получится: на них завязано не только облако, но и, например, проверка наличия доступа к сети в браузере. В качестве решения исследователь предлагает применение политик, запрещающих установку в браузер любых расширений, кроме отмеченных в белом списке. Такой оригинальный метод взаимодействия с атакуемой системой можно не замечать долгое время — это откроет злоумышленникам путь к корпоративным данным, которые в нормальных условиях доступны через браузер. В большинстве случаев это может быть и корпоративная почта, и средства совместной работы над документами, и многое другое. Что еще произошло История с атакой на экспертов в области информационной безопасности (см. предыдущий дайджест) получила продолжение. В браузере Google Chrome обнаружили и закрыли zero-day уязвимость в движке V8. Хотя разработчики из Google не дают комментариев на этот счет, есть предположение, что именно ее использовали организаторы атаки. Кроме того, южнокорейские специалисты нашли еще один вектор той же атаки: жертвам рассылали файлы .mhtml с вредоносным кодом, эксплуатирующим ранее неизвестную уязвимость в Internet Explorer 11. Файл якобы содержал информацию об уязвимости в браузере Google Chrome 85. Компания Netscout со ссылкой на китайских исследователей из Baidu Labsсообщает о новом методе амплификации DDoS-атаки с помощью некорректно сконфигурированного медиасервера Plex. Извините, данный ресурс не поддреживается. :( В треде по ссылке выше исследователь под никнеймом OverSoft рассказывает о плохо защищенной IP-видеокамере с функцией подсчета людей. Рассказ начинается с несменяемого идентификатора WiFi-сети и пароля к ней, и дальше становится только печальнее. Внутри камеры обнаружен Raspberry Pi Compute Module с дефолтным пользователем pi, документами, оставшимися от разработчика (включая mp3-файл) и кучей кода на Python. В итоге получается устройство, которое по идее подключается к корпоративной сети с фактически незащищенным WiFi и возможностью получить полный доступ к аккаунту со стандартным паролем и максимумом привилегий. Команда Google Project Zeroпубликует обзор zero-day уязвимостей, использовавшихся в реальных атаках в прошлом году. Из 24 дыр восемь используют новый метод эксплуатации уже известной проблемы. Вывод: можно несколько усложнить жизнь злоумышленникам, если закрывать уязвимости после подробного анализа причины так, чтобы решенную проблему нельзя было вскрывать повторно. Более месяца назад, 4 января, произошел серьезный сбой в мессенджере Slack. По результатам инцидента опубликован подробный отчет. Падение произошло по совокупности причин: в первый после праздников рабочий день в большинстве стран пользователи нагружали инфраструктуру больше, чем нужно, а средство автоматического масштабирования мощностей в Amazon Web Services не сработало так, как требовалось. Исследование вредоносной программы Kobalos для Linux-систем раскрывает необычную цель атаки: суперкомпьютеры. Новый пример атаки на цепочку поставок: исследователи из ESET нашли зараженное ПО NoxPlayer (эмуляция Android-приложений), распространявшееся прямо с сайта разработчика. =========== Источник: habr.com =========== Похожие новости:
Блог компании «Лаборатория Касперского» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:35
Часовой пояс: UTC + 5