{"id":246362,"date":"2021-02-06T10:58:52","date_gmt":"2021-02-06T09:58:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=246362"},"modified":"2021-02-06T13:50:34","modified_gmt":"2021-02-06T12:50:34","slug":"chrome-sync-funktion-kann-fr-malware-verteilung-genutzt-werden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/06\/chrome-sync-funktion-kann-fr-malware-verteilung-genutzt-werden\/","title":{"rendered":"Chrome Sync-Funktion kann für Malware-Verteilung genutzt werden"},"content":{"rendered":"

[English<\/a>]Unsch\u00f6ne Geschichte, die ein Sicherheitsforscher gerade \u00f6ffentlich gemacht hat. Angreifern ist es gelungen, die Synchronisationsfunktion des Google Chrome-Browsers f\u00fcr eigene Zwecke zu missbrauchen, um zumindest Informationen abzufragen.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber diverse Tweet wie den nachfolgenden<\/a> auf diesen Sachverhalt gesto\u00dfen. Catalin Cimpanu hat es auf ZDNet in diesem Artikel<\/a> aufbereitet.<\/p>\n

\"Google<\/a><\/p>\n

Die Chrome-Synchronisierung ist eine Funktion des Chrome-Webbrowsers, die Kopien der Chrome-Lesezeichen, des Browserverlaufs, der Passw\u00f6rter sowie der Browser- und Erweiterungseinstellungen eines Benutzers auf den Cloud-Servern von Google ablegt. Dies erm\u00f6glicht Benutzern, die mit dem Google Chrome-Browser an einem Google-Benutzerkonto angemeldet sind, die gespeicherten Informationen \u00fcber verschiedene Ger\u00e4te zu synchronisieren. Der Benutzer hat so immer Zugriff auf seine aktuellen Chrome-Daten.<\/p>\n

Angriff \u00fcber Chrome-Erweiterungen<\/h2>\n

Der Sicherheitsforscher Bojan Zdrnja hat nun herausgefunden, dass diese Infrastruktur von Google auch als Command-and-Control (C2)-Kommunikationskanal missbraucht werden kann. Angreifer k\u00f6nnen Daten abziehen und auf eigenen Servern ablegen. Der Sicherheitsforscher hat das Ganze, welches er bei einem Angriff in freier Wildbahn gefunden hat, in diesem Beitrag<\/a> dokumentiert.<\/p>\n

Die Grundlage f\u00fcr diesen Angriff waren b\u00f6sartige Erweiterungen, die der Angreifer auf dem kompromittierten System abgelegt hat. Kompromittierte Browser-Erweiterungen sind an sich nichts Neues – das ist eigentlich Tagesgesch\u00e4ft und Google wirft h\u00e4ufiger solche Extensions aus dem Chrome Web Store (siehe Chrome-Erweiterung The Great Suspender wegen Malware aus Store entfernt<\/a>).<\/p>\n

Die Neuerung bestand in diesem Fall darin, dass die Angreifer nicht den Chrome Web Store zur Installation der Erweiterung nutzten. Vielmehr legten sie die Erweiterung lokal in einem Ordner auf dem System ab und luden sie direkt aus Chrome auf eine kompromittierte Workstation. Dies ist eigentlich eine legitime Funktion in Chrome. Nutzer k\u00f6nnen \u00fcber Weitere Tools -> Erweiterungen<\/em> gehen und dann den Entwicklermodus<\/em> aktivieren.<\/p>\n

\"Extensions<\/p>\n

Danach lassen sich beliebige Erweiterungen lokal, direkt aus einem Ordner \u00fcber die Schaltfl\u00e4che Entpackte Erweiterung laden<\/em> aufrufen. Die Angreifer erstellten ein b\u00f6sartiges Addon, das vorgab, Forcepoint Endpoint Chrome Extension for Windows zu sein, wie in der Abbildung unten zu sehen ist. Nat\u00fcrlich hatte die Erweiterung nichts mit Forcepoint zu tun – die Angreifer verwendeten lediglich das Logo und den Namen.<\/p>\n

\"Chrome
\nB\u00f6sartige Chrome Extension<\/p>\n

Beim Erstellen von Chrome-Erweiterungen wird deren Konfiguration in einer Datei namens manifest.json <\/em>gespeichert. Dort ist auch festgelegt, welche Berechtigungen die Erweiterung hat. Die Angreifer hatten die Manifest-Datei so manipuliert, dass nach dem Laden der Erweiterung ein Script im Hintergrund startete. Das Script suchte automatisch nach oauth-Token-Schl\u00fcsseln im Chrome-Speicher, die dann automatisch mit dem Google-Cloud-Speicher des Benutzers synchronisiert wurden.<\/p>\n

Um Zugriff auf die synchronisierten sensiblen Daten zu erhalten, m\u00fcsste sich der Bedrohungsakteur nur auf einem anderen System in das gleiche Google-Konto einloggen, auf dem der Chrome-Browser l\u00e4uft. Hintergrund ist, dass Drittanbieter die private Google Chrome Sync API nicht nutzen d\u00fcrfen. Sobald diese Anmeldung gelingt, kann ein Angreifer \"die Infrastruktur von Google missbrauchen, um mit dem Chrome-Browser im Netzwerk des Opfers zu kommunizieren\", schreibt Zdrnja. Und weiter: \"Es gibt zwar einige Einschr\u00e4nkungen bei der Gr\u00f6\u00dfe der Daten und der Anzahl der Anfragen, aber das ist eigentlich perfekt f\u00fcr C&C-Befehle (die in der Regel klein sind) oder f\u00fcr den Diebstahl kleiner, aber sensibler Daten – wie Authentifizierungs-Tokens, geeignet.\"<\/p>\n

Zdrnja vermutet ein spezielles Scenario: Die Angreifers planten Daten in einer internen Webanwendung zu manipulieren und Informationen zu sammeln, auf die das Opfer Zugriff hatte. Da heute vieles ausschlie\u00dflich als Web-Anwendung l\u00e4uft, fallen dort viele Informationen an. Daher beschr\u00e4nkten die Angreifer ihren Zugriff auf dieser Workstation zun\u00e4chst auf auf alles, was mit Webanwendungen zusammenh\u00e4ngt. Daher wurden (noch) keine keine anderen Bin\u00e4rdateien abgelegt, sondern nur die b\u00f6sartige Chrome-Erweiterung. Vielleicht w\u00e4re zu einem sp\u00e4teren Zeitpunkt eine b\u00f6sartige Bin\u00e4rdatei zum Erweitern der Zugriffe geladen worden.<\/p>\n

Um die b\u00f6sartige Erweiterung am Exfiltrieren von Daten zu hindern, m\u00fcssten auch Server blockiert werden, die von Google f\u00fcr verschiedene legitime Zwecke genutzt werden (z. B. clients4.google.com). Daher ist dies nicht der richtige Weg, um sich vor \u00e4hnlichen Angriffen zu sch\u00fctzen. Um Angreifer daran zu hindern, die Sync-API von Google Chrome zum Sammeln und Exfiltrieren von Daten aus Unternehmensumgebungen zu missbrauchen, empfiehlt Zdrnja Gruppenrichtlinien. Dort l\u00e4sst sich eine Liste von zugelassenen Chrome-Erweiterungen festlegen und alle anderen Extensions werden blockiert.<\/p>\n

Als Benutzer kann man sich meiner Meinung nach ebenfalls leicht sch\u00fctzen, indem man auf die Anmeldung am Sync-Konto verzichtet. Hilft nat\u00fcrlich nicht gegen eine b\u00f6swillige Chrome-Erweiterung, die per side-loading \u00fcber die oben beschriebene M\u00f6glichkeit auf den Rechner kommt und dann Daten m\u00f6glicherweise direkt liest.<\/p>\n

An der Beschreibung des Sicherheitsforschers sind mir allerdings nach dem Querlesen des Beitrag noch zwei Sachen nicht ganz klar. Wie gelang es den Angreifern, die Lade-Funktion im Chrome zu aktivieren – muss der Benutzer dort eingreifen? Und wie gelangen die Angreifer an das Zugangstoken f\u00fcr das Google-Konto, welches zur Synchronisierung genutzt wird?<\/p>\n

Ob das Ganze bei anderen Chromium-Browsern so genutzt werden kann, ist mir aktuell unklar. Der unten im Kommentar angefragte Edge synchronisiert \u00fcber Microsoft Cloud-Konten. Wenn aber die gleichen Mechanismen verwendet werden, gibt es die gleiche Schwachstelle.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Geschichte, die ein Sicherheitsforscher gerade \u00f6ffentlich gemacht hat. Angreifern ist es gelungen, die Synchronisationsfunktion des Google Chrome-Browsers f\u00fcr eigene Zwecke zu missbrauchen, um zumindest Informationen abzufragen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[406,4328],"class_list":["post-246362","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/246362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=246362"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/246362\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=246362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=246362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=246362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}