Los navegadores Chromium permiten la filtración de datos a través de la sincronización de marcadores



La sincronización de marcadores se ha convertido en una función estándar en los navegadores modernos: brinda a los usuarios de Web una forma de garantizar que los cambios que realizan en los marcadores en un solo dispositivo surtan efecto simultáneamente en todos sus dispositivos. Sin embargo, resulta que esta misma funcionalidad útil del navegador también brinda a los ciberdelincuentes una ruta de ataque útil.

A saber: se puede abusar de los marcadores para desviar montones de datos robados de un entorno empresarial, o para infiltrar herramientas de ataque y cargas maliciosas, con poco riesgo de ser detectado.

David Prefer, investigador académico del SANS Technological know-how Institute, hizo el descubrimiento como parte de una investigación más amplia sobre cómo los atacantes pueden abusar de la funcionalidad del navegador para sacar de contrabando datos de un entorno comprometido y llevar a cabo otras funciones maliciosas.

En un documento técnico reciente, Desire describió el proceso como «bruggling», una combinación de navegador y contrabando. Es un nuevo vector de exfiltración de datos
que demostró con un script PowerShell de prueba de concepto (PoC) llamado «Brugglemark» que desarrolló para ese propósito.

El bello arte de Bruggling

“No hay ninguna debilidad o vulnerabilidad que esté siendo explotada con el proceso de sincronización”, enfatiza Like. «En lo que se centra este documento es en la capacidad de nombrar los marcadores como quieras y luego sincronizarlos con otros dispositivos registrados, y cómo esa funcionalidad muy conveniente y útil se puede torcer y usar mal de una manera no intencionada».

Un adversario ya necesitaría acceso, ya sea remoto o físico, al entorno y ya se habría infiltrado y recopilado los datos que desea filtrar. Luego, podrían usar las credenciales de sincronización del navegador robadas de un usuario legítimo en el entorno o crear su propio perfil de navegador, luego acceder a esos marcadores en otro sistema donde se han sincronizado para acceder y guardar los datos, dice Favor. Un atacante podría usar la misma técnica para infiltrar cargas maliciosas y herramientas de ataque en un entorno.

El beneficio de la técnica es, en pocas palabras, el sigilo.

Johannes Ullrich, decano de investigación en el Instituto SANS, dice que la exfiltración de datos a través de la sincronización de marcadores brinda a los atacantes una forma de eludir la mayoría de las herramientas de detección basadas en host y redes. Para la mayoría de las herramientas de detección, el tráfico aparecería como tráfico de sincronización typical del navegador para Google o cualquier otro fabricante de navegadores. «A menos que las herramientas miren el volumen del tráfico, no lo verán», dice Ullrich. «Todo el tráfico también está encriptado, por lo que es un poco como DNS sobre HTTP u otras técnicas de ‘vivir fuera de la nube'», dice.

Bruggling en la práctica

En términos de cómo podría llevarse a cabo un ataque en el mundo serious, Desire señala un ejemplo en el que un atacante podría haber comprometido un entorno empresarial y accedido a documentos confidenciales. Para filtrar los datos a través de la sincronización de marcadores, el atacante primero necesitaría colocar los datos en un formato que pueda almacenarse como marcadores. Para hacer esto, el adversario podría simplemente codificar los datos en formato foundation64 y luego dividir el texto en fragmentos separados y guardar cada uno de esos fragmentos como marcadores individuales.

Like descubrió, a través de prueba y error, que los navegadores modernos permiten almacenar una cantidad substantial de caracteres como marcadores únicos. El número true varió con cada navegador. Con el navegador Brave, por ejemplo, Favor descubrió que podía sincronizar muy rápidamente la totalidad del libro. Nuevo mundo valiente utilizando sólo dos marcadores. Hacer lo mismo con Chrome requería 59 marcadores. Choose también descubrió durante las pruebas que los perfiles del navegador podían sincronizar hasta 200.000 marcadores a la vez.

Una vez que el texto se ha guardado como marcadores y sincronizado, todo lo que el atacante tendría que hacer es iniciar sesión en el navegador desde otro dispositivo para acceder al contenido, volver a ensamblarlo y decodificarlo desde base64 para volver al texto unique.

«En cuanto a qué tipo de datos podrían filtrarse a través de esta técnica, creo que depende de la creatividad de un adversario», dice Choose.

La investigación de Desire se centró principalmente en el líder de cuota de mercado de navegadores Google Chrome y, en menor medida, en otros navegadores como Edge, Brave y Opera, que se basan en el mismo proyecto Chromium de código abierto en el que se basa Chrome. Pero no hay ninguna razón por la que la bruggling no funcione con otros navegadores como Firefox y Safari, señala.

Otros casos de uso

Significativamente, la sincronización de marcadores no es la única función del navegador de la que se puede abusar de esta manera, dice Want. «Hay muchas otras características del navegador que se usan en la sincronización que podrían usarse de manera indebida de manera comparable, pero requerirían investigación para investigar», dice. Como ejemplos, señala los autocompletados, las extensiones, el historial del navegador, las contraseñas almacenadas, las preferencias y los temas, que se pueden sincronizar. «Con un poco de investigación, podría resultar que también se puede abusar de ellos», dice Want.

Ullrich dice que el artículo de Choose se inspiró en investigaciones anteriores que mostraban cómo el navegador sincronizacion de extensiones podría usarse para la exfiltración de datos y el comando y handle. Sin embargo, con ese método, la víctima habría tenido que instalar una extensión de navegador maliciosa, dice.

Mitigar la amenaza

Want dice que las organizaciones pueden mitigar el riesgo de exfiltración de datos al deshabilitar la sincronización de marcadores mediante la Política de grupo. Otra opción sería limitar la cantidad de dominios de correo electrónico que pueden iniciar sesión para sincronizar, de modo que los atacantes no puedan usar su propia cuenta para hacerlo.

«[Data loss protection] El monitoreo de DLP que ya realiza una organización también se puede aplicar aquí», dice.

La sincronización de marcadores no funcionaría muy bien si la sincronización se realizara a una velocidad más lenta, dice Ullrich. «Pero ser capaz de sincronizar más de 200 000 marcadores y ver solo un poco de aceleración de la velocidad después de 20 000 o 30 000 marcadores hace que esto [very] valioso», dice.

Por lo tanto, los fabricantes de navegadores pueden dificultar las cosas para los atacantes, por ejemplo, acelerando dinámicamente la sincronización de marcadores en función de factores como la antigüedad de una cuenta o los inicios de sesión desde una nueva ubicación geográfica. Del mismo modo, los marcadores que contienen codificación base64 podrían no sincronizarse, así como los marcadores con nombres y URL excesivos, dice Desire.



Enlace a la noticia first