Nedavni podaci o sajber-sigurnosti otkrivaju alarmantan porast od 130% phishing napada koji ciljaju na ranije nepoznate ranjivosti pretraživača.
Ovi sofisticirani napadi koriste nezakrpljene sigurnosne propuste u popularnim pretraživačima za implementaciju malicioznih korisnih podataka prije nego što sigurnosni timovi mogu implementirati protumjere, ostavljajući korisnike i organizacije izuzetno ranjivim u kritičnim prvim satima kampanje napada.
Dramatični porast je prvenstveno uočen u napadima koji iskorištavaju JavaScript mašine za renderiranje i API-je proširenja pretraživača, pri čemu se korisnici Chrome-a, Firefox-a i Edge-a suočavaju s najvećim rizikom.
Hakeri sve više koriste zamagljeni kod i tehnike manipulacije DOM-om kako bi zaobišli tradicionalne sigurnosne kontrole dok prikupljaju kredencijale i postavljaju sekundarni korisni teret.
Njihova analiza je otkrila da napadači koriste sofisticirane otiske prstiju u pretraživaču kako bi identifikovali ranjive mete prije implementacije svojih eksploatacija, značajno povećavajući stope uspjeha u poređenju s tradicionalnim metodama krađe identiteta .
Najzabrinjavajući aspekt ovog trenda je brzina kojom se kompromitovani sistemi monetizuju.
Prema podacima o odgovoru na incidente, prosječno vrijeme između inicijalne kompromitacije pretraživača i eksfiltracije kredencijala palo je na samo 27 minuta, dajući timovima za sigurnost minimalno vrijeme da otkriju i reaguju na aktivna kršenja prije nego što dođe do oštećenja.
Ovi napadi obično započinju posebno kreiranim e-porukama koje sadrže veze do malicioznih web stranica koje izgledaju legitimno, ali sadrže zamagljeni JavaScript kod koji iskorištava ranjivosti u raščlanjivanju pretraživača za izvršavanje proizvoljnog koda.
Mehanizmi eksploatacije
Najrasprostranjeniji vektor napada uključuje iskorištavanje CVE-2023-45812, ranjivosti tipova zabune u JavaScript motorima koja omogućava napadačima da zaobiđu politike istog porijekla.
Kada korisnik posjeti kompromitovanu stranicu, sljedeći kod se obično ubrizgava kako bi se iskoristila ranjivost:-
function triggerVulnerability() {
const vulnerableObj = {"prop": document.createElement("iframe")};
const proxyObj = new Proxy(vulnerableObj, {
get: function(target, prop) {
if (prop === "prop") {
// Type confusion triggered here
Object.defineProperty(target, "prop", {value: {}});
return document.domain;
}
return target[prop];
}
});
setTimeout(() => {
// Execute arbitrary code with elevated privileges
proxyObj.prop.innerHTML = '';
}, 100);
}Ovaj kod koristi uslove trke u prikupljanju smeća pretraživača i mehanizmima pristupa svojstvima kako bi se izvukao iz sandbox pretraživača.
Kada se izvrši, maliciozni kod može pristupiti osjetljivim podacima pretraživača, uključujući pohranjene kredencijale i informacije o sesiji.
Sigurnosni timovi bi trebali odmah implementirati Politike sigurnosti sadržaja sa strogim dinamičkim direktivama i osigurati da su svi pretraživači ažurirani na najnovije verzije.
Dodatno, implementacija tehnologija izolacije pretraživača može pružiti efikasnu zaštitu izvršavanjem web sadržaja u zaštićenim kontejnerima odvojenim od krajnjih uređaja.
Izvor: CyberSecurityNews