Das Magazin der Zukunft - Kostenlos, Futuristisch, Genial.
SquareX deckt Massenangriffe auf Chrome-Erweiterungen auf: Sicherheitsrisiken für Nutzer und Entwickler
Die Neuentwicklung von SquareX zeigt, wie Angreifer über gefälschte Datenschutzrichtlinien Zugriff auf vertrauliche Informationen erlangen können.
SquareX, eine neuartige Browser Detection and Response (BDR)-Lösung, hat sich als Vorreiter im Bereich der Browsersicherheit positioniert. Vor etwa einer Woche berichtete das Unternehmen von umfassenden Angriffen auf Entwickler von Chrome-Erweiterungen, die darauf abzielten, diese aus dem Chrome Web Store zu übernehmen. Am 25. Dezember 2024 wurde eine bösartige Version der Browsererweiterung von Cyberhaven veröffentlicht, die es Angreifern ermöglichte, authentifizierte Sitzungen zu kapern und vertrauliche Informationen zu exfiltrieren. Die gefährliche Erweiterung war mehr als 30 Stunden lang zum Download verfügbar, bevor sie von Cyberhaven entfernt wurde. Das Unternehmen für Datenverlustprävention wollte sich auf Anfrage der Presse nicht zum Ausmaß der Auswirkungen äußern, jedoch hatte die Erweiterung zum Zeitpunkt des Angriffs über 400.000 aktive Nutzer im Chrome Store.
Besorgniserregend ist, dass die Forschungsabteilung von SquareX bereits eine ähnliche Angriffsmethode identifiziert hatte und eine Video-Demonstration des gesamten Angriffsverlaufs eine Woche vor dem Vorfall mit Cyberhaven veröffentlicht hatte. Der Angriff beginnt mit einer Phishing-E-Mail, die den Chrome Store imitiert und den Empfänger über angebliche Verstöße gegen die „Entwicklervereinbarung“ informiert. Der Nutzer wird gedrängt, den Richtlinien zuzustimmen, um die Entfernung seiner Erweiterung aus dem Chrome Store zu verhindern. Klickt der Nutzer auf den Bestätigungsbutton, wird er aufgefordert, sein Google-Konto mit einer „Datenschutzrichtlinien-Erweiterung“ zu verknüpfen, was dem Angreifer erlaubt, Erweiterungen im Konto des Entwicklers zu bearbeiten, zu aktualisieren und zu veröffentlichen.
Die Nutzung von Browsererweiterungen hat sich als zunehmend beliebter Weg für Angreifer herausgestellt, um initialen Zugriff zu erlangen. Viele Unternehmen haben nur begrenzte Einsichten darüber, welche Erweiterungen von ihren Mitarbeitenden verwendet werden. Selbst die rigorosesten Sicherheitsteams überwachen häufig keine nachträglichen Updates, nachdem eine Erweiterung auf die Whitelist gesetzt wurde. SquareX führte umfassende Forschungen durch und demonstrierte auf der DEFCON 32, wie MV3-konforme Erweiterungen dazu genutzt werden können, Video-Stream-Daten zu stehlen, stille GitHub-Zusammenarbeiter hinzuzufügen sowie Sitzungscookies zu entwenden. Angreifer können eine scheinbar harmlose Erweiterung erstellen und diese nach der Installation in ein bösartiges Modell umwandeln oder, wie im falle Cyberhaven, die Entwickler einer vertrauenswürdigen Erweiterung täuschen, um Zugriff auf eine bereits weit verbreitete Lösung zu erhalten.
Im Fall von Cyberhaven gelang es den Angreifern, Unternehmensanmeldeinformationen über mehrere Websites und Webanwendungen hinweg durch die bösartige Version der Erweiterung zu stehlen. Da die E-Mail-Adressen der Entwickler öffentlich im Chrome Store aufgelistet sind, ist es Angreifern leicht möglich, Tausende von Erweiterungsentwicklern gleichzeitig anzugreifen. Diese Adressen werden in der Regel für Fehlermeldungen verwendet. Sogar die Support-E-Mails, die für Erweiterungen größerer Unternehmen gelistet sind, werden zumeist an Entwickler weitergeleitet, die möglicherweise nicht über das notwendige Sicherheitsbewusstsein verfügen, um in einem solchen Angriff Verdacht zu schöpfen.
Angesichts der kürzlich aufgedeckten Angriffe und des Cyberhaven-Vorfalls innerhalb eines Zeitraums von weniger als zwei Wochen hat SquareX fundierte Gründe zu der Annahme, dass zahlreiche andere Anbieter von Browsererweiterungen in ähnlicher Weise angegriffen werden. Das Unternehmen betont, dass sowohl Unternehmen als auch Einzelpersonen vor der Installation oder Aktualisierung von Browsererweiterungen eine gründliche Prüfung vornehmen sollten. Das Team von SquareX hat Verständnis dafür, dass es eine Herausforderung darstellt, jede einzelne Browsererweiterung am Arbeitsplatz hinsichtlich aller konkurrierenden Sicherheitsprioritäten zu bewerten und zu überwachen, insbesondere bei Zero-Day-Angriffen.
Wie im Video gezeigt, wurde die gefälschte Datenschutzrichtlinien-App bei dem Vorfall mit Cyberhaven nicht von einem der gängigen Bedrohungsfeeds erkannt. Vivek Ramachandran, Gründer von SquareX, warnt: „Identitätsangriffe, die auf Browsererweiterungen abzielen, werden wie der OAuth-Angriff in Zukunft immer präsenter werden, insbesondere da Mitarbeitende zunehmend auf browserbasierte Tools zur Steigerung ihrer Produktivität angewiesen sind. Ähnliche Varianten dieser Angriffe wurden in der Vergangenheit genutzt, um Cloud-Daten aus Anwendungen wie Google Drive und One Drive zu stehlen. Wir werden sehen, dass Angreifer immer kreativer darin werden, Browsererweiterungen auszunutzen. Unternehmen müssen wachsam bleiben und ihr Risiko in der Lieferkette minimieren, ohne die Produktivität der Mitarbeitenden zu beeinträchtigen, indem sie diese mit den richtigen nativen Tools ausstatten.
SquareX bietet eine branchenführende BDR-Lösung, die einen angriffsorientierten Ansatz für die Browsersicherheit verfolgt. Damit wird sichergestellt, dass Unternehmensnutzer vor fortgeschrittenen Bedrohungen wie bösartigen QR-Codes, Browser-in-the-Browser-Phishing, makrobasierter Schadsoftware und anderen Webangriffen, einschließlich bösartiger Dateien, Webseiten, Skripte und kompromittierter Netzwerke, geschützt sind. Mit SquareX können Unternehmen ihre Vertragspartner und Remote-Mitarbeiter sicher auf interne Anwendungen und Unternehmens-SaaS zugreifen lassen und die Browser auf BYOD- bzw. unmanaged Geräten in vertrauenswürdige Browsing-Sitzungen umwandeln.
