0
0
A sincronização de favoritos tornou-se um recurso padrão em navegadores modernos: oferece aos usuários da Internet uma maneira de garantir que as alterações feitas nos favoritos em um único dispositivo tenham efeito simultaneamente em todos os seus dispositivos. No entanto, essa mesma funcionalidade útil do navegador também oferece aos cibercriminosos um caminho de ataque útil.
A saber: os marcadores podem ser usados de forma abusiva para desviar resmas de dados roubados de um ambiente corporativo ou para se infiltrar em ferramentas de ataque e cargas maliciosas, com pouco risco de serem detectados.
David Prefer, pesquisador acadêmico do SANS Technology Institute, fez a descoberta como parte de uma pesquisa mais ampla sobre como os invasores podem abusar da funcionalidade do navegador para contrabandear dados de um ambiente comprometido e realizar outras funcionalidades maliciosas.
Em um artigo técnico recente, Prefer descreveu o processo como “bruggling” – uma junção de navegador e contrabando. É um novo vetor de exfiltração de dados que ele demonstrou com um script PowerShell de prova de conceito (PoC) chamado “Brugglemark” que ele desenvolveu para essa finalidade.
A Bela Arte de Bruggling
“Não há fraqueza ou vulnerabilidade que está sendo explorada com o processo de sincronização”, enfatiza Prefer. “O que este artigo aprimora é a capacidade de nomear os favoritos como você quiser e, em seguida, sincronizá-los com outros dispositivos conectados, e como essa funcionalidade muito conveniente e útil pode ser distorcida e mal utilizada de maneira não intencional.”
Um adversário já precisaria de acesso – remoto ou físico – ao ambiente e já teria se infiltrado nele e coletado os dados que deseja exfiltrar. Eles podem usar credenciais de sincronização de navegador roubadas de um usuário legítimo no ambiente ou criar seu próprio perfil de navegador e acessar esses favoritos em outro sistema onde foram sincronizados para acessar e salvar os dados, diz Prefer. Um invasor pode usar a mesma técnica para infiltrar cargas maliciosas e ferramentas de ataque em um ambiente.
O benefício da técnica é, simplesmente, discrição.
Johannes Ullrich, reitor de pesquisa do SANS Institute, diz que a exfiltração de dados por meio da sincronização de favoritos oferece aos invasores uma maneira de contornar a maioria das ferramentas de detecção baseadas em host e rede. Para a maioria das ferramentas de detecção, o tráfego apareceria como tráfego normal de sincronização do navegador para o Google ou qualquer outro fabricante de navegadores. “A menos que as ferramentas observem o volume do tráfego, elas não o verão”, diz Ullrich. “Todo o tráfego também é criptografado, por isso é um pouco como DNS sobre HTTPs ou outras técnicas de ‘viver na nuvem'”, diz ele.
Bruggling na prática
Em termos de como um ataque pode ser realizado no mundo real, Prefer aponta para um exemplo em que um invasor pode ter comprometido um ambiente corporativo e acessado documentos confidenciais. Para exfiltrar os dados por meio da sincronização de marcadores, o invasor precisa primeiro colocar os dados em um formulário que possa ser armazenado como marcadores. Para fazer isso, o adversário poderia simplesmente codificar os dados no formato base64 e, em seguida, dividir o texto em partes separadas e salvar cada uma dessas partes como marcadores individuais.
Prefiro descobrir – por tentativa e erro – que os navegadores modernos permitem que um número considerável de caracteres seja armazenado como marcadores únicos. O número real variou com cada navegador. Com o navegador Brave, por exemplo, Prefer descobriu que podia sincronizar, muito rapidamente, todo o livro Brave New Worldusando apenas dois marcadores. Fazer o mesmo com o Chrome exigia 59 marcadores. A Prefer também descobriu durante os testes que os perfis dos navegadores podiam sincronizar até 200.000 marcadores de uma vez.
Depois que o texto for salvo como favoritos e sincronizado, tudo o que o invasor precisa fazer é entrar no navegador de outro dispositivo para acessar o conteúdo, remontá-lo e decodificá-lo da base64 de volta ao texto original.
“Quanto ao tipo de dados que podem ser exfiltrados por meio dessa técnica, acho que depende da criatividade de um adversário”, diz Prefer.
A pesquisa de Prefer foi focada principalmente no líder de mercado de navegadores Google Chrome – e em menor grau em outros navegadores como Edge, Brave e Opera, que são todos baseados no mesmo projeto Chromium de código aberto em que o Chrome é construído. Mas não há razão para que o bruggling não funcione com outros navegadores, como Firefox e Safari, observa ele.
Outros casos de uso
Significativamente, a sincronização de favoritos não é a única função do navegador que pode ser abusada dessa maneira, diz Prefer. “Existem muitos outros recursos do navegador usados na sincronização que podem ser mal utilizados de maneira semelhante, mas exigiriam pesquisas para investigar”, diz ele. Como exemplos, ele aponta para preenchimentos automáticos, extensões, histórico do navegador, senhas armazenadas, preferências e temas, que podem ser sincronizados. “Com um pouco de pesquisa, pode ser que eles também possam ser abusados”, diz Prefer.
Ullrich diz que o artigo de Prefer foi inspirado em pesquisas anteriores que mostraram como a sincronização de extensões do navegador pode ser usada para exfiltração de dados e comando e controle. Com esse método, no entanto, uma vítima teria que instalar uma extensão de navegador maliciosa, diz ele.
Mitigar a ameaça
Prefer diz que as organizações podem mitigar o risco de exfiltração de dados desabilitando a sincronização de favoritos usando a Política de Grupo. Outra opção seria limitar o número de domínios de e-mail que podem entrar para sincronização, para que os invasores não possam usar sua própria conta para fazer isso.
“[Proteção contra perda de dados] O monitoramento DLP que uma organização já realiza também pode ser aplicado aqui”, diz ele.
A sincronização de favoritos não funcionaria muito bem se a sincronização ocorresse em uma velocidade mais lenta, diz Ullrich. “Mas ser capaz de sincronizar mais de 200.000 marcadores e ver apenas uma limitação de velocidade após 20.000 ou 30.000 marcadores torna isso [muito] valioso”, diz ele.
Assim, os fabricantes de navegadores podem dificultar as coisas para os invasores, por exemplo, limitando dinamicamente a sincronização de favoritos com base em fatores como a idade de uma conta ou logins de uma nova localização geográfica. Da mesma forma, os favoritos que contêm a codificação base64 podem ser impedidos de sincronizar, assim como os favoritos com nomes e URLs excessivos, diz Prefer.
FONTE: DARK READING