Um pesquisador divulgou uma ferramenta capaz de contornar as novas defesas de criptografia App-Bound da Google contra furto de cookies e extrair credenciais salvas do navegador web Chrome.
A ferramenta, denominada 'Chrome-App-Bound-Encryption-Decryption', foi lançada pelo pesquisador de cibersegurança Alexander Hagenah após perceber que outros já estavam descobrindo formas similares de contornar essas defesas.
Embora a ferramenta realize o que várias operações de infostealer já haviam incorporado ao seu malware, sua disponibilidade pública aumenta o risco para usuários do Chrome que continuam a armazenar dados sensíveis em seus navegadores.
A Google introduziu a criptografia Application-Bound (App-Bound) em julho (Chrome 127) como um novo mecanismo de proteção que criptografa cookies usando um serviço do Windows que opera com privilégios de SYSTEM.
O objetivo era proteger informações sensíveis contra malwares infostealer, que executam com as permissões do usuário logado, tornando impossível para eles decifrarem cookies roubados sem antes obter privilégios de SYSTEM e potencialmente acionar alertas em softwares de segurança.
"Como o serviço App-Bound está rodando com privilégios de sistema, os atacantes precisam fazer mais do que apenas convencer um usuário a executar um app malicioso", explicou a Google em julho.
Agora, o malware precisa obter privilégios de sistema ou injetar código no Chrome, algo que um software legítimo não deveria estar fazendo.
Contudo, até setembro, múltiplos infostealers encontraram maneiras de contornar o novo recurso de segurança e fornecer a seus clientes cibercriminosos a capacidade de roubar e decifrar novamente informações sensíveis do Google Chrome.
A Google disse que o jogo de "gato e rato" entre os desenvolvedores de infostealer e seus engenheiros era sempre esperado e que nunca assumiram que seus mecanismos de defesa seriam impenetráveis.
Em vez disso, com a introdução da criptografia App-Bound, esperavam finalmente lançar as bases para gradativamente construir um sistema mais robusto.
Abaixo está a resposta da Google na época:
Ontem, Hagenah disponibilizou sua ferramenta de bypass de criptografia App-Bound no GitHub, compartilhando código fonte que permite a qualquer um aprender e compilar a ferramenta.
"Esta ferramenta decifra chaves criptografadas App-Bound armazenadas no arquivo de Estado Local do Chrome, usando o serviço interno COM-based IElevator do Chrome", lê-se na descrição do projeto.
A ferramenta fornece uma maneira de recuperar e decifrar estas chaves, que o Chrome protege via criptografia App-Bound (ABE) para evitar acesso não autorizado a dados seguros como cookies (e potencialmente senhas e informações de pagamento no futuro).
Para usar a ferramenta, usuários devem copiar o executável para o diretório do Google Chrome, geralmente localizado em C:\Program Files\Google\Chrome\Application.
Esta pasta é protegida, então os usuários devem primeiro obter privilégios de administrador para copiar o executável para aquela pasta.
Contudo, isso é comumente fácil de alcançar, pois muitos usuários do Windows, especialmente consumidores, usam contas que têm privilégios administrativos.
Quanto ao seu impacto real na segurança do Chrome, o pesquisador g0njxa disse que a ferramenta de Hagenah demonstra um método básico que a maioria dos infostealers já ultrapassou para roubar cookies de todas as versões do Google Chrome.
O analista de malware da Toyota, Russian Panda, também confirmou que o método de Hagenah parece similar às abordagens iniciais de contorno que os infostealers adotaram quando a Google implementou pela primeira vez a criptografia App-Bound no Chrome.
"Lumma usou esse método – instanciando a interface Chrome IElevator através de COM para acessar o Serviço de Elevação do Chrome para decifrar os cookies, mas isso pode ser bastante barulhento e fácil de detectar", disse Russian Panda.
Agora, eles estão usando decifração indireta sem interagir diretamente com o Serviço de Elevação do Chrome.
No entanto, g0njxa comentou que a Google ainda não alcançou, então segredos do usuário armazenados no Chrome podem ser facilmente roubados usando a nova ferramenta.
Em resposta à liberação desta ferramenta, a Google compartilhou a seguinte declaração:
"Este código [de xaitax] requer privilégios de administrador, o que mostra que elevamos com sucesso a quantidade de acesso necessária para realizar com sucesso este tipo de ataque", disse a Google.
Embora seja verdade que privilégios de administrador sejam necessários, isso parece não ter impactado as operações de malware de roubo de informações, que só aumentaram nos últimos seis meses, visando usuários através de vulnerabilidades zero-day, correções falsas para problemas no GitHub e até respostas no StackOverflow.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...