Расширения для браузеров: удобный инструмент или ворота для хакеров?

Ксения Рысаева, 20/03/23
Какие угрозы может нести в себе серфинг по Сети с помощью браузеров, прокачанных аддонами – функциональными утилитами для расширения возможностей привычных программ? Угроз много, и они реальны. Рассмотрим, как можно свести их к минимуму и контролировать.

Автор: Ксения Рысаева, руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART

[img]https://www.itsec.ru/hs-fs/hubfs/ris1-Mar-20-2023-09-15-36-2931-AM.png?width=984&height=647&name=ris1-Mar-20-2023-09-15-36-2931-AM.png[/img]

Почему именно аддоны?

Кража пользовательских аккаунтов, слежка за действиями (кейлоггинг), внедрение рекламы в просматриваемые страницы, вредоносный код – таковы последствия хакерских атак с помощью браузерного ботнета Cloud9, который был обнаружен [1] осенью прошлого года специалистами компании Zimperium.
Cloud9 – троян, распространившийся под видом браузерного расширения (аддона) для веб-обозревателей на платформе Chromium. Он потенциально опасен для тех, кто использует Google Chrome, Microsoft Edge, Яндекс.Браузер или Opera.
Ситуация с Cloud9 лишь один из примеров использования уязвимостей в браузерных расширениях. Внимание к аддонам не случайно. Они добавляют в ежедневный веб-серфинг массу удобств: блокируют рекламу, обеспечивают мгновенный доступ к сервисам, облегчают работу с закладками и электронной почтой, изменяют настройки внешнего вида, проводят мгновенный перевод страниц с одного языка на другой. Аддоны популярны, потому что делают работу с браузером ощутимо более комфортной. Ситуация, когда в браузер добавляется полтора десятка расширений, не редкость.
Устанавливая расширение, пользователь внедряет в свой браузер сторонний код, который может оказаться зловредным. Часто расширения устанавливаются не из официальных магазинов приложений, а из непроверенных источников – безопасность таких расширений никем не гарантирована. Некоторые программы автоматически помещают расширение в браузер, не уведомляя пользователя, – любой из таких аддонов может быть вредоносным.
К сожалению, загрузка из официальных источников (например, Chrome Web Store или Google Play) не гарантирует отсутствия в них вредоносных аддонов.
Установка аддонов – достаточно простое действие, решение о котором пользователи принимают мгновенно, не рассматривая потенциальные опасности. Этот факт делает браузерные расширения удобным способом распространения вредоносного ПО, которым пользуются злоумышленники.

Расширение опасности: угрозы, которые таят в себе аддоны

Аддоны аккумулируют в себе самые разные угрозы.
Они контролируют действия пользователя в браузере и способны несанкционированно распространять рекламу, вносить изменения в настройки браузера и менять его внешний вид.
Умеют подменять содержимое страниц (в том числе фишинговой информацией) и перехватывать учетные и платежные данные, которые вводит пользователь.
Через расширения может устанавливаться соединение с вредоносной инфраструктурой, в этом случае браузер становится частью ботнета, при помощи которого осуществляются хакерские атаки.
Хакерское сообщество непрерывно расширяет свой инструментарий – велика вероятность, что браузерные расширения станут источником новой категории угроз. В перспективе наибольшая опасность для пользователей заключается в использовании вредоносного кода в расширениях. Такая своеобразная “инъекция” уязвимости в код осуществляется с целью получения доступа к данным, предоставляя хакерам контроль над устройством, которое впоследствии принимает участие в DDoS-атаках.
Среди корпоративных ИБсистем подобная тактика киберпреступников вызывает беспокойство. За последний год участились кибератаки на государственные органы, объекты критической информационной инфраструктуры, производственные предприятия и корпорации. Киберпреступные сообщества становятся политическими акторами.

Переводчик или вор?

Тем временем многие компании, особенно представители сегмента малого и среднего бизнеса, не располагают достаточными компетенциями и возможностями для организации эффективной защиты от угроз браузерных расширений. Меры, которые принимаются ими против вредоносных аддонов, ограничены такими стандартными шагами, как установка расширений только из официальных магазинов приложений; анализ рейтинга и истории разработчиков ПО; контроль разрешений, которые запрашивают аддоны для своей работы; мониторинг перечня используемых расширений; антивирусная защита.
Но на сегодняшний день этого недостаточно. Брешами в системе информационной безопасности предприятия могут стать любые приложения, с которыми сотрудники взаимодействуют через браузер. В качестве примера можно привести внутренние корпоративные порталы, где часто размещается критически важная информация, в том числе строго конфиденциальная, – аддоны дают хакерам возможность получить эти данные, легко обходя средства защиты, применяемые в организации.
Другой пример – использование расширений, которые получают доступ к данным. Обычно в их роли выступают системы автоматического перевода с иностранных языков, которые абсолютно легитимно просматривают и копируют содержимое веб-страниц или документов и контролируют действия пользователя. Зловредный код, тем или иным образом попавший в расширение-переводчик, получает доступ к учетным данным пользователя.

Как распознать опасное расширение?

Чтобы идентифицировать расширение как потенциально опасное, следует обращать внимание на несколько следующих признаков:
источник/происхождение установки аддона не является официальным;
неактуальная или устаревшая дата выпуска/последнего обновления расширения;
в ходе установки происходит запрос чрезмерных разрешений или разрешений, которые не соответствуют назначению или функциональности аддона.

План действий

Помимо стандартных действий, обеспечивающих безопасность использования браузерных расширений, следует принять дополнительные меры.
Прежде всего, администраторы и безопасники должны иметь четкое понимание того, какие браузерные расширения используются в организации. Составить их список не так сложно: каждый аддон имеет уникальный идентификатор и оставляет “следы” своей деятельности в системе. Специалистам хорошо известны папки в файловой системе компьютера, где хранятся такие артефакты. Контроль за ними позволит находить используемые расширения, идентифицировать их, осуществлять мониторинг их работы и при необходимости удалять.
Другой необходимой мерой является разработка и внедрение корпоративной политики, регламентирующей использование браузеров на предприятии. Эта задача тоже не отличается особенной сложностью: существуют готовые шаблоны таких политик в отношении большинства популярных браузеров, например для инфраструктур на базе Active Directory.

VDI > BYOD

В контексте опасности использования браузерных расширений новую актуальность приобретает вопрос об использовании сотрудниками для работы своих личных устройств. Многие организации продолжают использовать удаленный режим работы.
Использование личных устройств опасно по многим причинам, в их числе отсутствие централизованной антивирусной защиты и невозможность управления параметрами безопасности из единого корпоративного центра.
В конце концов, организация не вправе запретить своему сотруднику использовать личный ноутбук в свободное время по своему усмотрению. Это обстоятельство может нивелировать все меры защиты от угроз, которые предпринимаются на корпоративном уровне.
В этой связи стоит выбирать более безопасный способ организации удаленной работы, например при помощи VDI – виртуальных рабочих столов. Этот способ обеспечивает выполнение всех операций в виртуальной среде, расположенной внутри защищенного корпоративного периметра, что позволяет эффективно бороться с рисками утечек данных. Важно иметь в виду, что доступ к VDI должен осуществляться не через браузер, а через клиентское приложение.
Расширения для браузеров и недостаточное внимание к ним со стороны пользователей и администраторов усиливают риски для безопасности компаний. Чтобы не стать жертвой нападения хакеров, которое было осуществлено при помощи “невинного” аддона для перевода страниц или управления заметками, необходимо помнить о мерах защиты, иначе можно получить серьезный ИБ-инцидент. “Мелких” угроз не существует.
https://www.zimperium.com/blog/the-case-of-cloud9-chrome-botnet/

www.itsec.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *