行業(yè)動態(tài)

研究發(fā)現(xiàn),攻擊者能利用Chromium瀏覽器書簽同步功能泄露數(shù)據(jù)

來源:聚銘網(wǎng)絡    發(fā)布時間:2022-08-03    瀏覽次數(shù):
 

信息來源:Freebuf


書簽同步已經(jīng)成為瀏覽器的一個標準功能,能幫助用戶在某一設備上對書簽進行改動時,也能同步到其他設備上。然而,研究發(fā)現(xiàn),這種操作也給網(wǎng)絡犯罪分子提供了一個便捷的攻擊途徑。

SANS技術(shù)研究所的學術(shù)研究人員大衛(wèi)·普雷弗(David Prefer)的這一發(fā)現(xiàn),是對攻擊者如何濫用瀏覽器功能,從被破壞的環(huán)境中偷取數(shù)據(jù)并執(zhí)行其他惡意功能研究的一部分。總的來說,書簽可以被濫用來從企業(yè)環(huán)境中吸走大量被盜數(shù)據(jù),或者在幾乎不會被發(fā)現(xiàn)的情況下從中部署攻擊工具和惡意有效載荷。

在最近的一篇技術(shù)論文中,普雷弗將這一過程描述為 "bruggling"——瀏覽器和偷渡的諧音。這是一個新穎的數(shù)據(jù)滲出載體,他用一個名為 "Brugglemark "的概念驗證(PoC)PowerShell腳本進行了演示。

泄露原理

如果攻擊者已經(jīng)滲透進系統(tǒng)環(huán)境中,他們可以從受害用戶那里竊取瀏覽器的同步憑證,或自行創(chuàng)建瀏覽器配置文件,并在另一設備系統(tǒng)中訪問這些書簽。攻擊者可以使用同樣的技術(shù)將惡意的有效載荷和攻擊工具偷偷帶入一個系統(tǒng)環(huán)境。

在實操層面,普雷弗舉例,即攻擊者可能已經(jīng)破壞了一個企業(yè)環(huán)境并訪問了敏感文件。為了通過書簽同步來滲出數(shù)據(jù),攻擊者首先需要把數(shù)據(jù)放到可以存儲為書簽的形式中。要做到這一點,攻擊者可以簡單地將數(shù)據(jù)編碼為base64格式,然后將文本分成獨立的小塊,并將每個小塊保存為單獨的書簽。

普雷弗通過反復試驗發(fā)現(xiàn),如今的瀏覽器允許將大量字符存儲為單個書簽,實際數(shù)量因瀏覽器不同而存在差異,例如,在使用Brave瀏覽器時,普雷弗發(fā)現(xiàn)他只需使用兩個書簽就可以很快同步整個《勇敢的新世界》(Brave New World )一書,而用Chrome瀏覽器做同樣的事情需要59個書簽。普雷弗在測試中還發(fā)現(xiàn),瀏覽器配置文件可以一次同步多達20萬個書簽。

將文本保存為書簽并同步后,攻擊者需要做的就是從另一臺設備登錄瀏覽器,訪問、重新組合這些書簽并將其從 base64 解碼回原始文本。

普雷弗表示,在同步過程中沒有利用任何漏洞,主要集中在如何通過書簽同步這一實用功能進行惡意濫用。

普雷弗的研究主要集中在瀏覽器市場份額的領(lǐng)導者 Chrome 上,而如 Edge、Brave 和 Opera等其他瀏覽器,它們和 Chrome 都基于同一個開源 Chromium 項目。但他指出,Bruggling 也可能同樣適用于 Firefox 和 Safari 等瀏覽器。

SANS研究所的研究院長約翰內(nèi)斯·烏爾里奇(Johannes Ullrich)認為,通過書簽同步的數(shù)據(jù)滲出給了攻擊者一種繞過大多數(shù)基于主機和網(wǎng)絡的檢測工具的方法。對大多數(shù)檢測工具來說,這些流量會顯示為谷歌或任何其他瀏覽器的正常同步流量。

值得注意的是,書簽同步可能不是唯一一個能被濫用的功能,普雷弗表示,自動填充、擴展、瀏覽器歷史記錄、存儲的密碼、首選項和主題等都可以同步并進行濫用,但這些還有待進一步的研究。

防范建議

普雷弗建議,企業(yè)組織可以通過使用組策略禁用書簽同步來降低數(shù)據(jù)泄露的風險。另一種選擇是限制通過登錄進行同步的電子郵箱數(shù)量,攻擊者將無法使用自己的帳戶進行同步。此外,瀏覽器廠商可通過基于帳戶年齡或從新地理位置登錄等因素動態(tài)限制書簽同步。類似地,還可以阻止包含 base64 編碼的書簽以及具有過多名稱和 URL 的書簽。參考來源:https://www.darkreading.com/cloud/chromium-browsers-data-exfiltration-bookmark-syncing


 
 

上一篇:外媒:臺灣地區(qū)領(lǐng)導人辦公室網(wǎng)站受網(wǎng)絡攻擊,一度出現(xiàn)故障

下一篇:2022年8月3日聚銘安全速遞