Chromium-браузеры позволяют слить данные через синхронизацию закладок

Chromium-браузеры позволяют слить данные через синхронизацию закладок

Bruggling — новый вектор слива данных из скомпрометированной системы, в котором используется функция синхронизации закладок в Chromium-браузерах. Эксперты уже представили proof-of-concept (PoC).

Синхронизация закладок уже давно стала стандартной функциональностью в современных интернет-обозревателях. Она позволяет пользователю, например, добавить закладку на одном устройстве и автоматически получить ее на других девайсах.

Однако оказалось, что эту функцию можно использовать и в атаках, а именно — получить с ее помощью внутренние данные целевой организации. Помимо этого, вектор позволяет установить в систему жертвы вредоносные инструменты или пейлоады с минимальным риском детектирования.

Дэвид Префер, специалист технологического института SANS, в ходе одного из своих исследований выявил возможность задействовать функциональность синхронизированных закладок для извлечения данных из скомпрометированных сетей.

Вектор назвали “Bruggling”, а Префер даже опубликовал код демонстрационного эксплойта — PowerShell-скрипт под названием “Brugglemark”.

«Речь не идет об уязвимости или баге в функции синхронизации закладок. Штука в том, что вы можете давать любое имя вашим закладкам, а потом синхронизировать их между устройствами», — пишет эксперт.

Для успешной атаки злоумышленнику придется сначала заполучить удаленный или физический доступ к атакуемой системе, а также собрать все интересующие его данные. Далее потребуется либо использовать украденные учетные данные от аккаунта в браузере, либо создать свой профиль.

После этого злоумышленник получает доступ к закладкам на другом устройстве, поскольку они мгновенно синхронизируются. По словам Префера, этот же метод можно использовать для копирования вредоносных составляющих в атакованную среду.

Исследователи протестировали Bruggling на стабильных и бета-версиях браузера Chrome, а также на Microsoft Edge, Brave и Opera.

 

Иоганнес Ульрих, другой специалист из SANS, также отметил, что слив данных с помощью синхронизации закладок дает киберпреступнику неоспоримое преимущество — незаметность. С помощью этого вектора можно обойти детектирование защитными средствами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишеры использовали уязвимость на сайтах American Express and Snapchat

Веб-сайты American Express и Snapchat содержали уязвимости, связанные с открытыми редиректами (Open Redirect). Эти бреши использовались в недавних фишинговых атаках на пользователей Microsoft 365.

Проблемы класса Open Redirect существуют из-за того, что затронутые веб-ресурсы не проводят корректную валидацию пользовательского ввода. В этом случае условный злоумышленник может управлять URL для перенаправления пользователя на вредоносные сайты.

Поскольку подготовленная фишером ссылка содержит имя легитимного домена, пользователь вряд ли заподозрит неладное. Тем не менее доверенный домен задействуется исключительно в качестве посадочной страницы.

С середины мая по конец июля специалисты компании Inky зафиксировали около 7000 фишинговых писем, отправленных с аккаунтов злоумышленников и пытающихся эксплуатировать уязвимость сайта snapchat[.]com.

В конце июля около двух тысяч аналогичных писем задействовали такую же брешь, но на сайте americanexpress[.]com.

«В случае с обоими эксплойтами злоумышленники включали персональную информацию в URL, чтобы “на лету“ кастомизировать посадочные страницы под конкретную жертву», — объясняют специалисты Inky.

ПДн в ссылках шифровались, чтобы это всё выглядело как набор случайных символов. Вредоносные письма маскировались под уведомления от DocuSign, FedEx и Microsoft. 4 августа информация об уязвимости поступила представителям Snapchat, однако проблема до сих пор не устранена.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru