La synchronisation de Chrome est exploitée par une extension malveillante

La fonctionnalité Chrome Sync de Google peut être utilisée de manière abusive par les pirates informatique pour collecter des informations sur des ordinateurs compromis à l’aide d’extensions de navigateur Chrome conçues de manière malveillante.

L’infrastructure de Google est également prête à être utilisée à mauvais escient en tant que canal de communication de commande et de contrôle (C2) pour exfiltrer les données volées vers des serveurs contrôlés par des attaquants, comme l’a découvert le consultant en sécurité Bojan Zdrnja.

Chrome Sync est une fonctionnalité de navigateur conçue pour synchroniser automatiquement les favoris, l’historique, les mots de passe et d’autres paramètres d’un utilisateur après sa connexion avec son compte Google.

Contourner les vérifications de sécurité du Web Store de Chrome

Alors que les extensions Chrome malveillantes sont assez fréquentes, Google en supprime des centaines chaque année du Chrome Web Store, celle-ci était spéciale en raison de la façon dont elle a été déployée.

L’extension malveillante du pirate se faisait appelée Forcepoint Endpoint Chrome pour Windows et était installée directement à partir de Chrome (en contournant le canal d’installation du Web Store de Chrome) après l’activation du mode développeur.

chrome sync

Une fois installée, l’extension a supprimé un script d’arrière-plan conçu pour vérifier les clés oauth_token dans le stockage de Chrome, qui seraient ensuite automatiquement synchronisées avec le stockage dans le cloud Google de l’utilisateur.

Pour accéder aux données sensibles synchronisées, le pirate informatique n’aurait qu’à se connecter au même compte Google sur un autre système exécutant le navigateur Chrome, car les navigateurs tiers basés sur Chromium ne sont pas autorisés à utiliser l’API privée de Google Chrome Sync.

Cela leur permettrait ensuite de “communiquer avec le navigateur dans le réseau de la victime en abusant de l’infrastructure de Google”, a révélé Zdrnja.

“Bien qu’il existe certaines limitations sur la taille des données et la quantité de requêtes, c’est en fait parfait pour les commandes C&C (qui sont généralement petites), ou pour voler des données petites mais sensibles – comme les jetons d’authentification.”

chrome sync

Les clés du royaume

Le pirate informatique a concentré son attaque sur la manipulation des données de l’application Web et n’a pas tenté d’étendre son activité malveillante au système sous-jacent. Le raisonnement de ce comportement est assez simple selon Zdrnja.

“Bien qu’ils voulaient également étendre leur accès, ils ont en fait limité les activités sur ce poste de travail à celles liées aux applications Web, ce qui explique pourquoi ils n’ont utilisé que l’extension malveillante, et pas d’autres binaires”, a expliqué Zdrnja.

“Cela étant dit, ceci a également du sens – presque tout est géré via une application Web aujourd’hui, que ce soit votre CRM interne, votre système de gestion de documents, votre système de gestion des droits d’accès ou autre chose [..].”

Empêcher l’extension malveillante d’exfiltrer des données nécessiterait également de bloquer les serveurs utilisés par Google pour des actions légitimes (telles que clients4.google.com), ce n’est donc pas la bonne façon de se défendre contre des attaques similaires.

“Maintenant, si vous envisagez de bloquer l’accès à clients4.google.com, soyez prudent – il s’agit d’un site Web très important pour Chrome, qui est également utilisé pour vérifier si le navigateur est connecté à Internet (entre autres)”, a déclaré Zdrnja .

Pour bloquer les attaquants qui abusent de l’API Sync de Google Chrome pour collecter et exfiltrer des données à partir d’environnements d’entreprise, Zdrnja recommande des politiques de groupe pour créer une liste d’extensions approuvées et bloquer toutes les autres qui n’ont pas été vérifiées.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires