研究發現,攻擊者能利用Chromium瀏覽器書簽同步功能泄露數據
書簽同步已經成為瀏覽器的一個標準功能,能幫助用戶在某一設備上對書簽進行改動時,也能同步到其他設備上。然而,研究發現,這種操作也給網絡犯罪分子提供了一個便捷的攻擊途徑。
SANS技術研究所的學術研究人員大衛·普雷弗(David Prefer)的這一發現,是對攻擊者如何濫用瀏覽器功能,從被破壞的環境中偷取數據并執行其他惡意功能研究的一部分。總的來說,書簽可以被濫用來從企業環境中吸走大量被盜數據,或者在幾乎不會被發現的情況下從中部署攻擊工具和惡意有效載荷。
在最近的一篇技術論文中,普雷弗將這一過程描述為 "bruggling"——瀏覽器和偷渡的諧音。這是一個新穎的數據滲出載體,他用一個名為 "Brugglemark "的概念驗證(PoC)PowerShell腳本進行了演示。
泄露原理
如果攻擊者已經滲透進系統環境中,他們可以從受害用戶那里竊取瀏覽器的同步憑證,或自行創建瀏覽器配置文件,并在另一設備系統中訪問這些書簽。攻擊者可以使用同樣的技術將惡意的有效載荷和攻擊工具偷偷帶入一個系統環境。
在實操層面,普雷弗舉例,即攻擊者可能已經破壞了一個企業環境并訪問了敏感文件。為了通過書簽同步來滲出數據,攻擊者首先需要把數據放到可以存儲為書簽的形式中。要做到這一點,攻擊者可以簡單地將數據編碼為base64格式,然后將文本分成獨立的小塊,并將每個小塊保存為單獨的書簽。
普雷弗通過反復試驗發現,如今的瀏覽器允許將大量字符存儲為單個書簽,實際數量因瀏覽器不同而存在差異,例如,在使用Brave瀏覽器時,普雷弗發現他只需使用兩個書簽就可以很快同步整個《勇敢的新世界》(Brave New World )一書,而用Chrome瀏覽器做同樣的事情需要59個書簽。普雷弗在測試中還發現,瀏覽器配置文件可以一次同步多達20萬個書簽。
將文本保存為書簽并同步后,攻擊者需要做的就是從另一臺設備登錄瀏覽器,訪問、重新組合這些書簽并將其從 base64 解碼回原始文本。
普雷弗表示,在同步過程中沒有利用任何漏洞,主要集中在如何通過書簽同步這一實用功能進行惡意濫用。
普雷弗的研究主要集中在瀏覽器市場份額的領導者 Chrome 上,而如 Edge、Brave 和 Opera等其他瀏覽器,它們和 Chrome 都基于同一個開源 Chromium 項目。但他指出,Bruggling 也可能同樣適用于 Firefox 和 Safari 等瀏覽器。
SANS研究所的研究院長約翰內斯·烏爾里奇(Johannes Ullrich)認為,通過書簽同步的數據滲出給了攻擊者一種繞過大多數基于主機和網絡的檢測工具的方法。對大多數檢測工具來說,這些流量會顯示為谷歌或任何其他瀏覽器的正常同步流量。
值得注意的是,書簽同步可能不是唯一一個能被濫用的功能,普雷弗表示,自動填充、擴展、瀏覽器歷史記錄、存儲的密碼、首選項和主題等都可以同步并進行濫用,但這些還有待進一步的研究。
防范建議
普雷弗建議,企業組織可以通過使用組策略禁用書簽同步來降低數據泄露的風險。另一種選擇是限制通過登錄進行同步的電子郵箱數量,攻擊者將無法使用自己的帳戶進行同步。此外,瀏覽器廠商可通過基于帳戶年齡或從新地理位置登錄等因素動態限制書簽同步。類似地,還可以阻止包含 base64 編碼的書簽以及具有過多名稱和 URL 的書簽。
