CursedChrome convierte tu navegador en el proxy de un hacker


Logotipo de Chrome

La semana pasada, un investigador de seguridad publicó una extensión de prueba de concepto de Chrome que convierte los navegadores Chrome en bots proxy, permitiendo a los hackers navegar por la net utilizando la identidad de un usuario infectado.

La herramienta, llamada MalditoCromo, fue creado por un investigador de seguridad Matthew Bryanty lanzado en GitHub como un proyecto de código abierto.

Bajo el capó, CursedChrome tiene dos partes diferentes: un componente del lado del cliente (la propia extensión de Chrome) y una contraparte del lado del servidor (un panel de command donde todos los bots de CursedChrome informan).

cursedchrome-diagram.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/05/04/b316a5a3-6d5f-43dc-a913-623f229eb9f1/cursedchrome-diagram.png

Imagen: Matthew Bryant

Una vez que la extensión se ha instalado en algunos navegadores, el atacante puede iniciar sesión en el panel de management de CursedChrome y establecer una conexión con cada host infectado.

El enlace entre la extensión y el panel de command es una conexión straightforward de WebSocket que funciona como un proxy inverso HTTP clásico.

Esto significa que una vez que el atacante se ha conectado a un host infectado, puede navegar por la world-wide-web utilizando el navegador infectado y, al hacerlo, secuestrar las sesiones iniciadas y las identidades en línea para acceder a áreas prohibidas, como intranets o aplicaciones empresariales.

cursed-chrome-web-panel.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/05/04/9e36ec69-27e9-48d7-a110-3d0e7e320fdd/cursed-chrome-web-panel .png

Imagen: Matthew Bryant

Un proyecto como CursedChrome es la herramienta great de un atacante.

Esta es la razón por la cual el lanzamiento de la extensión ha sido acompañado por bastantes rumores de la comunidad de ciberseguridad, quienes afirmaron que lanzar algo como CursedChrome no hace más que bajar la barra de entrada para que los atacantes desarrollen sus propias versiones maliciosas de CursedChrome en el futuro.

CursedChrome fue creado como una herramienta de prueba de pluma

Sin embargo, en una entrevista por correo electrónico con ZDNet la semana pasada, Bryant dijo que esta no period su intención en absoluto.

«Abrí el código de fuente abierta porque quiero que otros terapeutas rojos profesionales y evaluadores de bolígrafos puedan simular con precisión el escenario de &#39extensión de navegador malicioso&#39», nos dijo Bryant.

Por los terapeutas rojos, el investigador se refiere a los profesionales de la seguridad cibernética a quienes se les paga para entrar en las empresas. Su trabajo es vital, ya que presentan informes sobre lo que encuentran, para que las empresas puedan corregir los problemas y mantener alejados a los piratas informáticos.

«Las herramientas de código abierto son importantes para los equipos rojos por las mismas razones que cualquier otro trabajo: les ahorra tiempo a los equipos de diferentes compañías de tener que reescribir todo cada vez que hacen un equipo rojo o pentest. En realidad, es doblemente importante para nosotros porque la pluma los probadores y los teamers rojos trabajan en plazos extremadamente ajustados «, dijo Bryant.

El investigador también dijo ZDNet que CursedChrome no es nada que un atacante no podría haber construido. El proyecto funciona con tecnologías ya existentes y no aporta ninguna innovación a la mesa.

«Herramientas similares como el &#39pivote del navegador&#39 de Cobalt Strike (para Web Explorer) y el marco de código abierto BeEF han existido durante años, y los detalles técnicos de cómo realizar este ataque están disponibles gratuitamente en línea», dijo Bryant.

Además, Bryant no teme que los hackers puedan usar su código. Weaponizing CursedChrome requiere que los atacantes (1) alojen la extensión en Chrome World-wide-web Retailer o (2) la instalen mediante una política empresarial o mediante el modo de desarrollador de Chrome.

Bryant dice que el primer escenario probablemente no funcionará ya que «el canal de revisión de extensiones de la Tienda World wide web (…) es extremadamente efectivo para evitar extensiones potencialmente maliciosas», mientras que el segundo escenario requiere que el atacante tenga acceso a la purple de una compañía, por punto en el que ya tienen regulate complete y acceso a todo lo demás de todos modos.

El investigador quiere crear conciencia. También tiene una solución.

En cambio, el investigador dijo que quiere crear conciencia sobre el tema de las extensiones maliciosas de Chrome y el daño que pueden causar en entornos empresariales.

Hoy en día, como la mayoría de las empresas utilizan cada vez más herramientas basadas en la website, las extensiones del navegador son más importantes que nunca. Un empleado que ignora las reglas de la compañía e instala una extensión maliciosa puede crear un agujero en las defensas de su compañía, lo que permite a los piratas informáticos evitar los firewalls o los filtros VPN.

«Es (…) importante crear conciencia de qué nivel de acceso está otorgando cuando instala una extensión aleatoria para su navegador», dijo Bryant ZDNet.

El investigador dice que al usar algo como CursedChrome, los evaluadores pueden mostrar exactamente a las empresas cuán vulnerables son realmente cuando no controlan estrictamente lo que los empleados pueden instalar en sus navegadores.

Pero Bryant no es del tipo que señala con el dedo un problema y hace algo de ruido. Además de proporcionar la herramienta de prueba de lápiz, el investigador también ha proporcionado la solución en forma de un segundo proyecto que también de código abierto en GitHub.

Llamado Galvanizador de cromo, esta es una herramienta basada en la world wide web que genera políticas empresariales que se pueden instalar en todas las estaciones de trabajo de una empresa.

Los administradores de TI pueden usar Chrome Galvanizer para permitir o bloquear que las extensiones de Chrome accedan a ciertas URL y a los datos asociados con ella.

De esta manera, incluso si el usuario instala una extensión maliciosa de Chrome, la extensión no puede robar datos asociados con ciertos sitios, como intranets y aplicaciones empresariales.

Además, dado que se trata de «políticas», funcionan en el nivel del sistema operativo y no en el nivel del navegador, por lo que la extensión no puede omitir estas reglas de ninguna manera o forma.

chrome-galvanizer.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/04/1f3a3b35-f93d-41de-aa86-0f9035b8ec6e/chrome-galvanizer.png

Imagen: Matthew Bryant

Si bien la comunidad de seguridad de la información (infosec) puede reaccionar negativamente a las «herramientas de piratería ofensivas» que se lanzan de vez en cuando, Bryant dice que tienen sus roles.

Esto incluye herramientas como Modlishka, Facebook Comadreja, Metasploit, y más.

«Un ejemplo serious de esto es otra herramienta que escribí para encontrar vulnerabilidades de scripting entre sitios ciegos (XSS) llamadas XSS Hunter«, Dijo Bryant.

«Antes de lanzar la herramienta y hacerla fácil de usar y estar disponible en general, la mayoría de las personas con las que hablé ni siquiera creían que la XSS ciega fuera una preocupación genuine. Escuchaba cosas como &#39Estoy seguro de que teóricamente podría suceder, pero nunca lo he visto «y» No creo que sea realmente explotable «.

«Estas opiniones fueron, por supuesto, porque nadie lo estaba buscando, así que nadie lo estaba encontrando. Una vez que lancé el servicio y las herramientas, los investigadores de seguridad comenzaron a encontrar y reportar XSS ciegos por todo el lugar. Hoy, es algo que todo el mundo cree que es un problema serio a tener en cuenta y la conciencia del problema ha llevado a la reparación de toneladas de errores críticos «.

Ahora, Bryant espera que tanto CursedChrome como Chrome Galvanizer se pongan al día con la comunidad y ayuden a las compañías a proteger sus flotas de computadoras contra extensiones maliciosas de Chrome.





Enlace a la noticia unique