Новости От защиты до уязвимости: App-Bound Encryption в Chrome оказался не так крепок

NewsMaker

I'm just a script
Премиум
13,333
20
8 Ноя 2022
Резонансный инструмент появился на GitHub.


kd9r23kfesk58weq23arguqfvqjeu4vl.jpg


Специалист по кибербезопасности Александр Хагена Для просмотра ссылки Войди или Зарегистрируйся инструмент под названием Chrome -App-Bound-Encryption-Decryption, позволяющий обходить недавно внедренную Google систему шифрования Application-Bound (App-Bound) и извлекать сохраненные учетные данные пользователей из браузера Chrome.

В июле 2023 года компания Google Для просмотра ссылки Войди или Зарегистрируйся механизм защиты App-Bound Encryption в версии Chrome 127. Система шифрует файлы cookies с помощью службы Windows, работающей с правами SYSTEM. Главная цель нововведения заключалась в защите конфиденциальной информации от инфостилеров, которые обычно функционируют с правами обычного пользователя. По задумке разработчиков, без получения привилегий SYSTEM вредоносное ПО не могло расшифровать украденные cookies.

Однако уже к сентябрю злоумышленники Для просмотра ссылки Войди или Зарегистрируйся обхода новой системы защиты. Представители Google тогда заявили BleepingComputer, что противостояние между разработчиками вредоносного ПО и инженерами компании было ожидаемым. В Google никогда не считали механизмы защиты полностью неуязвимыми, но рассматривали App-Bound как основу для создания более надежной системы безопасности.

Хагена разместил свой инструмент для обхода App-Bound на Для просмотра ссылки Войди или Зарегистрируйся , сделав исходный код доступным для всех желающих. Для просмотра ссылки Войди или Зарегистрируйся разработчика, программа расшифровывает ключи App-Bound, хранящиеся в файле Local State браузера Chrome, используя внутренний COM-сервис IElevator.

Для работы инструмента необходимо скопировать исполняемый файл в директорию Google Chrome, обычно расположенную по адресу C:\Program Files\Google\Chrome\Application. Папка защищена, поэтому пользователям требуются права администратора. Специалисты отмечают, что получить административные привилегии достаточно просто, особенно для домашних пользователей Windows.

Исследователь g0njxa сообщил BleepingComputer, что опубликованный инструмент демонстрирует базовый метод, который большинство инфостилеров уже превзошли для кражи cookies из всех версий Google Chrome. Аналитик вредоносного ПО Russian Panda подтвердил, что метод Хагены похож на ранние способы обхода защиты, использовавшиеся после первоначального внедрения шифрования App-Bound.
 
Источник новости
www.securitylab.ru

Похожие темы