Новый инструмент обходит защиту от кражи cookie в Chrome - «Новости»

  • 10:30, 30-окт-2024
  • Новости / Текст / Преимущества стилей / Изображения / Отступы и поля / Самоучитель CSS / Ссылки
  • Lawman
  • 0

ИБ-эксперт Александр Хагена (Alexander Hagenah) опубликовал в открытом доступе инструмент Chrome-App-Bound-Encryption-Decryption для обхода новой защитной функции App-Bound Encryption в Chrome, которая предназначена для защиты конфиденциальных данных, включая файлы cookie.


Напомним, что функция App-Bound Encryption была представлена минувшим летом, с релизом Chrome 127. Как рассказывали разработчики браузера, она предназначается для шифрования файлов cookie и сохраненных паролей с помощью службы Windows, которая работает с системными привилегиями. То есть это не дает вредоносным программам, работающим с правами залогиненного пользователя, похитить секреты, хранящиеся в Chrome. Ведь в теории для обхода такой защиты малвари понадобятся системные привилегии, а получить их незаметно не получится.


После того как в сети заговорили о том, что малварь научилась обходить App-Bound Encryption, представители Google сообщили СМИ, что это было ожидаемо. В компании не рассчитывали создать «пуленепробиваемую» защиту, и шифрование App-Bound должно было лишь заложить основу для постепенного создания более надежной системы.


«Нам известно о том, что новая защита вызвала переполох среди разработчиков инфостилеров. Как мы уже писали в блоге, мы ожидаем, что эта защита изменит поведение злоумышленников в сторону более заметных методов атак, включая инъекции и скрапинг памяти. Именно это мы и наблюдаем теперь», — сообщали тогда в Google.


Теперь, когда Хагена открыто представил свое решение для обхода App-Bound Encryption на GitHub, любой желающий может изучить и скомпилировать этот инструмент.


«Этот инструмент расшифровывает ключи App-Bound Encryption, хранящиеся в файле Local State Chrome, используя внутреннюю службу Chrome IElevator на базе COM, — говорится в описании проекта. — Инструмент позволяет извлечь и расшифровать ключи, которые Chrome защищает с помощью App-Bound Encryption, чтобы предотвратить доступ к защищенным данным, таким как cookie, пароли и платежные данные».


Как сообщает издание Bleeping Computer, со ссылкой на ИБ-специалиста, известного под ником g0njxa, инструмент Хагены использует базовый метод обхода App-Bound Encryption, который большинство инфостилеров уже превзошли. Однако этот метод по-прежнему работает, так как разработчики Chrome еще не выпустили патчи.


Эту информацию подтверждают и аналитики из компании eSentire, по словам которых, метод Хагены похож на ранние способы обхода защиты, которые использовали злоумышленники, когда App-Bound Encryption только представили.


«[Стилер] Lumma использовал этот метод — инстанцирование интерфейса Chrome IElevator посредством COM для доступа к Chrome Elevation Service для расшифровки cookies, но это довольно "шумно" и легко обнаруживается. Теперь [хакеры] используют непрямую расшифровку, не взаимодействуя непосредственно с Chrome Elevation Service», — рассказывают в eSentire.


Разработчики Google сообщили изданию, что не видят ничего страшного в релизе такого инструмента. Так как для его работы требуются прав администратора, в компании считают, что «успешно повысили уровень доступа, необходимый для эффективных атак такого типа».


ИБ-эксперт Александр Хагена (Alexander Hagenah) опубликовал в открытом доступе инструмент Chrome-App-Bound-Encryption-Decryption для обхода новой защитной функции App-Bound Encryption в Chrome, которая предназначена для защиты конфиденциальных данных, включая файлы cookie. Напомним, что функция App-Bound Encryption была представлена минувшим летом, с релизом Chrome 127. Как рассказывали разработчики браузера, она предназначается для шифрования файлов cookie и сохраненных паролей с помощью службы Windows, которая работает с системными привилегиями. То есть это не дает вредоносным программам, работающим с правами залогиненного пользователя, похитить секреты, хранящиеся в Chrome. Ведь в теории для обхода такой защиты малвари понадобятся системные привилегии, а получить их незаметно не получится. После того как в сети заговорили о том, что малварь научилась обходить App-Bound Encryption, представители Google сообщили СМИ, что это было ожидаемо. В компании не рассчитывали создать «пуленепробиваемую» защиту, и шифрование App-Bound должно было лишь заложить основу для постепенного создания более надежной системы. «Нам известно о том, что новая защита вызвала переполох среди разработчиков инфостилеров. Как мы уже писали в блоге, мы ожидаем, что эта защита изменит поведение злоумышленников в сторону более заметных методов атак, включая инъекции и скрапинг памяти. Именно это мы и наблюдаем теперь», — сообщали тогда в Google. Теперь, когда Хагена открыто представил свое решение для обхода App-Bound Encryption на GitHub, любой желающий может изучить и скомпилировать этот инструмент. «Этот инструмент расшифровывает ключи App-Bound Encryption, хранящиеся в файле Local State Chrome, используя внутреннюю службу Chrome IElevator на базе COM, — говорится в описании проекта. — Инструмент позволяет извлечь и расшифровать ключи, которые Chrome защищает с помощью App-Bound Encryption, чтобы предотвратить доступ к защищенным данным, таким как cookie, пароли и платежные данные». Как сообщает издание Bleeping Computer, со ссылкой на ИБ-специалиста, известного под ником g0njxa, инструмент Хагены использует базовый метод обхода App-Bound Encryption, который большинство инфостилеров уже превзошли. Однако этот метод по-прежнему работает, так как разработчики Chrome еще не выпустили патчи. Эту информацию подтверждают и аналитики из компании eSentire, по словам которых, метод Хагены похож на ранние способы обхода защиты, которые использовали злоумышленники, когда App-Bound Encryption только представили. «_

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!