今天小編分享的互聯網經驗:新工具繞過 Google Chrome 的新 cookie 加密系統,歡迎閱讀。
近期,研究人員發布了一種工具,可以繞過 Google 新的 App-Bound 加密 cookie 盜竊防御,并從 Chrome 網絡浏覽器中提取保存的憑據。
該工具名為 "Chrome-App-Bound-Encryption-Decryption",由網絡安全研究員 Alexander Hagenah 發現,其他人已經在找出類似的繞過方法。
盡管該工具實現了多個信息竊取者操作已添加到其惡意軟體中的功能,但其公開可用性增加了繼續在浏覽器中存儲敏感數據的 Chrome 用戶的風險。
Google 的應用程式綁定加密問題
Google 在 7 月份推出了應用程式綁定(App-Bound)加密(Chrome 127)作為一種新的保護機制,該機制使用以 SYSTEM 權限運行的 Windows 服務來加密 cookie。
其目标是保護敏感信息免受 infostealer 惡意軟體的侵害,該惡意軟體在登錄用戶的權限下運行,使其無法在沒有首先獲得系統權限的情況下解密被盜的 cookie,并可能在安全軟體中發出警報。
谷歌在 7 月份曾解釋:" 由于 App-Bound 服務是以系統權限運行的,攻擊者需要做的不僅僅是誘騙用戶運行惡意應用程式。現在,惡意軟體必須獲得系統權限,或者将代碼注入 Chrome,這是合法軟體不應該做的事情。"
然而,到了 9 月份,多個信息竊取者已經找到了繞過新安全功能的方法,并為他們的網絡犯罪客戶提供了再次竊取和解密 Google Chrome 敏感信息的能力。
信息竊取者開發人員與其工程師之間的 " 貓捉老鼠 " 遊戲一直是意料之中,谷歌從未認為自己的防御機制會是無懈可擊的。相反,随着應用程式綁定加密的引入,他們希望最終能為逐步構建更健全的系統奠定基礎。
公開繞過
昨天,Hagenah 在 GitHub 上提供了他的 App-Bound 加密繞過工具,并共享源代碼,允許任何人學習和編譯該工具。
該工具使用 Chrome 内部基于 COM 的 IElevator 服務,解密存儲在 Chrome 本地狀态檔案中的應用程式綁定加密密鑰。提供了一種檢索和解密這些密鑰的方法,Chrome 通過應用程式綁定加密 ( ABE ) 來保護這些密鑰,以防止未經授權訪問 Cookie 等安全數據(以及未來可能的密碼和支付信息)。
要使用該工具,用戶必須将可執行檔案復制到 Google Chrome 目錄中,該目錄通常位于 C:Program FilesGoogleChromeApplication。
該檔案夾受保護,因此用戶必須首先獲得管理員權限才能将可執行檔案復制到該檔案夾。
然而,這通常很容易實現,因為許多 Windows 用戶(尤其是消費者)使用具有管理權限的帳戶。
就其對 Chrome 安全性的實際影響而言,研究人員 g0njxa 表示,Hagenah 的工具展示了一種大多數信息竊取者現在已經超越的基本方法,可以從所有版本的 Google Chrome 中竊取 cookie。 eSentire 惡意軟體分析師也證實,Hagenah 的方法看起來與谷歌首次在 Chrome 中實施應用程式綁定加密時信息竊取者所采用的早期繞過方法類似。
Lumma 也使用了這種方法——通過 COM 實例化 Chrome IElevator 接口來訪問 Chrome 的 Elevation Service 來解密 cookie,但這可能會非常嘈雜且易于檢測。現在,他們使用間接解密,而不直接與 Chrome 的高程服務互動。
不過,g0njxa 評論稱,谷歌仍未趕上,因此使用新工具可以輕松竊取 Chrome 中存儲的用戶機密。
為了響應該工具的發布,Google 表示此代碼 [ xaitax ] 需要管理員權限,這也表明已經成功提高了實現此類攻擊所需的訪問量。
雖然确實需要管理員權限,但它似乎并沒有影響信息竊取惡意軟體操作,這些惡意軟體操作在過去六個月中只增加了,通過零日漏洞、對 GitHub 問題的虛假修復,甚至對堆棧溢出。
