Neue Angriffsstrategie bedroht Unternehmenssicherheit durch bösartige Browser-Erweiterungen

SquareX enthüllt, wie einfache Erweiterungen zu einem vollständigen Browser- und Geräteübergriff führen können.

PALO ALTO, Kalifornien – Browser-Erweiterungen geraten derzeit in den Fokus der Unternehmenssicherheit, insbesondere durch die zunehmende Anzahl von OAuth-Angriffen auf Entwickler von Chrome-Erweiterungen und Datenausleifungsattacken. Bislang galt es als unmöglich, dass Erweiterungen vollständige Kontrolle über den Browser oder gar das gesamte Gerät erlangen könnten. Doch ein Forschungsteam von SquareX, bestehend aus Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy und Pankaj Sharma, hat diese Annahme nun widerlegt, indem sie aufzeigten, wie Angreifer bösartige Erweiterungen nutzen können, um ihre Berechtigungen zu eskalieren und ohne großen Benutzeraufwand die vollständige Kontrolle über Browser und Geräte zu übernehmen.

Ein entscheidender Aspekt dieser Erkenntnis ist, dass die bösartige Erweiterung lediglich über Lese-/Schreibrechte verfügen muss, die die meisten Erweiterungen im Chrome Web Store haben, darunter weit verbreitete Tools wie Grammarly, Calendly und Loom, was die Benutzer dazu verleitet, diese Berechtigungen unreflektiert zu gewähren. Dies bedeutet, dass nahezu jede Browser-Erweiterung unter bestimmten Bedingungen als Angriffsvektor fungieren könnte, wenn sie entweder von Angreifern erstellt oder übernommen wird. Laut den aktuellen Erkenntnissen werden Erweiterungen, die beim Chrome Web Store eingereicht werden und diese Berechtigungen anfordern, im Moment nicht einer zusätzlichen Sicherheitsprüfung unterzogen.

Der so genannte „Browser Syncjacking“-Angriff gliedert sich in drei wesentliche Schritte: Die Erweiterung fügt heimlich ein vom Angreifer verwaltetes Profil hinzu, übernimmt den Browser und erlangt schließlich die vollständige Kontrolle über das Gerät. Das Szenario beginnt damit, dass ein Mitarbeiter eine beliebige Browser-Erweiterung installiert – sei es eine, die sich als KI-Tool tarnt, oder eine bereits populäre Erweiterung mit potenziell Millionen von Installationen. Die Erweiterung authentifiziert das Opfer dann „stillschweigend“ in ein von dem Google Workspace des Angreifers verwaltetes Chrome-Profil. Dies geschieht automatisiert in einem Hintergrundfenster, sodass der gesamte Prozess für das Opfer nahezu unmerklich bleibt.

Sobald die Authentifizierung stattgefunden hat, hat der Angreifer die vollständige Kontrolle über das neu verwaltete Profil im Browser des Opfers, was es ihm ermöglicht, automatisierte Richtlinien wie die Deaktivierung von sicherem Surfen und anderen Sicherheitseinstellungen durchzusetzen. Durch eine raffinierte Social-Engineering-Technik kann der Angreifer das Profil-Hijacking weiter eskalieren, um Passwörter aus dem Browser des Opfers zu stehlen. Beispielsweise kann die bösartige Erweiterung die offizielle Unterstützungsseite von Google, auf der erklärt wird, wie Benutzerkonten synchronisiert werden, manipulieren und das Opfer zu einer Synchronisation mit nur wenigen Klicks verleiten.

Sobald das Profil synchronisiert ist, haben die Angreifer vollen Zugriff auf alle lokal gespeicherten Anmeldedaten und den Browserverlauf. Da dieser Angriff legitimate Seiten nutzt und keine sichtbaren Anzeichen dafür vorhanden sind, dass diese durch die Erweiterung modifiziert wurden, wird er von Sicherheitslösungen, die den Netzwerkverkehr überwachen, nicht erkannt. Um eine vollständige Kontrolle über den Browser zu erlangen, muss der Angreifer letztendlich den Chrome-Browser des Opfers in einen verwalteten Browser umwandeln. Im Verlauf des Angriffs überwacht die gleiche Erweiterung einen legitimen Download, beispielsweise ein Update von Zoom, und ersetzt ihn durch die ausführbare Datei des Angreifers, die ein Anmeldetoken und einen Registrierungseintrag enthält, um den Chrome-Browser des Opfers zu verwalten. Irreführend denkt das Opfer, es habe einen Zoom-Updater heruntergeladen, führt letztendlich jedoch die Datei aus, was zur Installation des Registrierungseintrags führt, der den Browser anweist, vom Google Workspace des Angreifers verwaltet zu werden.

Einmal als verwalteter Browser eingerichtet, hat der Angreifer vollständige Kontrolle. Dies ermöglicht ihm, Sicherheitsfunktionen zu deaktivieren, zusätzliche bösartige Erweiterungen zu installieren, Daten zu exfiltrieren und die Benutzer stillschweigend auf Phishing-Seiten umzuleiten. Diese Art des Angriffs ist besonders gefährlich, da es für einen durchschnittlichen Benutzer keinen visuelle Unterschiede zwischen einem verwalteten und einem nicht verwalteten Browser gibt. Für einen sicherheitsbewussten Nutzer bleibt der Erfolg dieser Privilegieneskalation oft unbemerkt, es sei denn, dieser unternimmt aktiv Schritte zur Überprüfung seiner Browsereinstellungen und auf ungewollte Verknüpfungen mit unbekannten Google Workspace-Konten.

Zusätzlich zu den obigen Angriffen kann der Angreifer, mithilfe der bereits heruntergeladenen Datei, auch Registrierungseinträge hinzufügen, die notwendig sind, damit die bösartige Erweiterung mit nativen Apps kommunizieren kann. Dies ermöglicht der Erweiterung, direkt mit lokalen Anwendungen zu interagieren, ohne zusätzliche Authentifizierung. Nach dem Aufbau dieser Verbindung können Angreifer die Erweiterung zusammen mit der örtlichen Shell und anderen verfügbaren nativen Anwendungen verwenden, um heimlich die Kamera des Geräts zu aktivieren, Audio aufzunehmen, Bildschirme aufzuzeichnen und bösartige Software zu installieren – letztlich erhalten sie dadurch vollen Zugriff auf alle Anwendungen und vertraulichen Daten des Geräts.

Der Browser Syncjacking-Angriff offenbart eine grundlegende Schwachstelle in der Verwaltung von remote verwalteten Profilen und Browsern. Heute kann jeder aus dem Nichts ein verwaltetes Arbeitsbereichskonto anlegen und eine Browsererweiterung einstellen, ohne dass eine Identitätsüberprüfung erforderlich ist, was es unmöglich macht, diese Angriffe zweifelsfrei zuzuordnen. Leider haben die meisten Unternehmen derzeit keine Einsicht in den Browser – die wenigsten verfügen über verwaltete Browser oder Profile und noch weniger über Einblick in die Erweiterungen, die Mitarbeiter oft installieren, basierend auf trendigen Tools und sozialen Medien.

Die Gefahr, die von dieser Angriffsform ausgeht, liegt in der minimalen Berechtigungsanforderung und der geringen Interaktion der Benutzer, die nur einen subtilen Social-Engineering-Schritt unter Verwendung vertrauenswürdiger Websites erfordert – dies macht es für Mitarbeiter nahezu unmöglich, diese Angriffe zu erkennen. Während kürzlich erfolgte Vorfälle wie der Cyberhaven-Vorfall bereits Hunderte, wenn nicht Tausende von Organisationen kompromittierten, benötigten diese Angriffe relativ komplexe Social-Engineering-Maßnahmen. Die schleichende Natur dieses speziellen Angriffs – mit einem extrem niedrigen Interaktionsbedarf für die Nutzer – macht ihn nicht nur sehr effizient, sondern weist auch auf die erschreckende Möglichkeit hin, dass Angreifer diese Technik bereits jetzt nutzen, um Unternehmen zu gefährden.

„Diese Forschung deckt einen kritischen blinden Fleck in der Unternehmenssicherheit auf“, sagt Vivek Ramachandran, Gründer von SquareX. „Traditionelle Sicherheitswerkzeuge können diese ausgeklügelten, browserbasierten Angriffe einfach nicht erkennen oder stoppen. Besonders alarmierend ist, wie es bösartige Erweiterungen, die auf den ersten Blick harmlos erscheinen, in umfassende Übernahme-Tools verwandelt, während sie unter dem Radar bei herkömmlichen Sicherheitsmaßnahmen wie EDRs und sicheren Web-Gateways operieren. Lösungen zur Browsererkennung und -reaktion sind nicht mehr optional – sie sind eine Notwendigkeit. Ohne Einsicht und Kontrolle auf Browserebene lassen Organisationen im Grunde ihre Haustür für Angreifer weit offen.

Diese Angriffsstrategie zeigt, warum die Sicherheit sich dorthin verlagern muss, wo die Bedrohungen tatsächlich auftreten: im Browser selbst. SquareX hat bereits bahnbrechende Sicherheitsforschung zu Browsererweiterungen durchgeführt, darunter den Vortrag bei DEF CON 32, der auf mehrere bösartige Erweiterungen im Einklang mit MV3 hinwies. Dieses Forschungsteam war auch die erste Gruppe, die den OAuth-Angriff auf Entwickler von Chrome-Erweiterungen eine Woche vor dem Cyberhaven-Vorfall entdeckte und veröffentlichte. Ihre Innovationen bei SquareX schließen auch die Entdeckung der Last Mile Reassembly-Angriffe mit ein – eine neue Klasse von Client-seitigen Angriffen, die architektonische Schwachstellen ausnutzen und alle Lösungen der sicheren Web-Gateways vollständig umgehen.

Basierend auf dieser Forschung bietet SquareX eine branchenführende Lösung zur Browsererkennung und -reaktion an, die Unternehmen vor fortschrittlichen verlängerungsbasierten Angriffen schützt, einschließlich der Versuche zur Geräteübernahme, indem sie dynamische Analysen aller Aktivitäten von Browsererweiterungen in Echtzeit durchführt und allen aktiven Erweiterungen ein Risikoscore zuweist, während sie außerdem Angriffe identifiziert, gegen die diese möglicherweise anfällig sind. Diese umfassende Lösung für die Browsererkennung und -reaktion hat sich als notwendig erwiesen, um Unternehmensbenutzer gegen hochentwickelte Bedrohungen zu schützen, die bösartige QR-Codes, Browser-in-the-Browser-Phishing, makrobasierten Malware und andere webbasierte Angriffe umfassen, die bösartige Dateien, Websites, Skripte und kompromittierte Netzwerke beinhalten. Darüber hinaus ermöglicht es SquareX Unternehmen, Auftragnehmern und Remote-Mitarbeitern einen gesicherten Zugang zu internen Anwendungen und Unternehmens-SaaS zu bieten und die Browser auf unverwalteten Geräten in vertrauenswürdige Browsersitzungen zu verwandeln.

Teile den Artikel

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beliebte Artikel

Tesla, AMD und Google im Wettbewerb um die Spitze der KI-Chips
Starship-Flighttest steht bevor: Live-Webcast und neue Technologien
Forschungsstationen in der Antarktis in Gefahr: Drohende Kürzungen erschüttern die Wissenschaft
OpenAI gesteht: GPT-4.5 halluziniert bei 37 Prozent der Antworten