9 Novembre 2024

Vulnerabilità “SymStealer” di Google Chrome: come proteggere i tuoi file dal furto

0
hacker

 

Il team di Imperva  ha recentemente rivelato una vulnerabilità, soprannominata CVE-2022-3656, che ha colpito oltre 2,5 miliardi di utenti di Google Chrome e browser basati su Chromium. Questa vulnerabilità ha consentito il furto di file sensibili, come portafogli crittografici e credenziali del provider di servizi cloud.

Introduzione

Chrome è il browser più utilizzato, con una quota di mercato del 65,52%. Altri due top 6 browser, Opera e Edge, sono basati su Chromium, la versione open source di Chrome, portando la quota di mercato di Chromium a oltre 70%.

La popolarità di Chromium ha molti vantaggi, come la compatibilità e i controlli di sicurezza. Tuttavia, aumenta anche la probabilità di una vulnerabilità cross-browser. In questo caso, la vulnerabilità è stata scoperta attraverso una revisione dei modi in cui il browser interagisce con il file system, cercando, in particolare, vulnerabilità comuni relative al modo in cui i browser elaborano i collegamenti simbolici.

Cos’è un collegamento simbolico?

UN collegamento simbolico, noto anche come collegamento simbolico, è un tipo di file che punta a un altro file o directory. Consente al sistema operativo di trattare il file o la directory collegati come se si trovassero nella posizione del collegamento simbolico. Questo può essere utile per creare scorciatoie, reindirizzare i percorsi dei file o organizzare i file in modo più flessibile.

Tuttavia, i collegamenti simbolici possono anche introdurre vulnerabilità se non vengono gestiti correttamente. Nel caso della vulnerabilità che abbiamo rivelato a Google, il problema è sorto dal modo in cui il browser interagiva con i collegamenti simbolici durante l’elaborazione di file e directory. In particolare, il browser non controllava correttamente se il collegamento simbolico puntava a una posizione che non doveva essere accessibile, il che consentiva il furto di file sensibili. Questo problema è comunemente noto come collegamento simbolico successivo.

Trovare il bug

E’ stato esaminato il modo in cui Chrome e altri browser basati su Chromium gestiscono i file system. Quando il team di Imperva ha verificato le API che gli sviluppatori utilizzano spesso per i caricamenti di file, come Drop Event, File Input o File System Access API, ha notato che di solito non gestiscono i collegamenti simbolici. Hanno anche misure di sicurezza extra, come chiedere una conferma aggiuntiva da parte dell’utente se provano a caricare molti file contemporaneamente. Tuttavia, durante i test effettuati, è stato scoperto che quando si rilascia un file o una cartella su un input di file, questo viene gestito in modo diverso. I collegamenti simbolici vengono elaborati, risolti in modo ricorsivo e non vi è alcun avviso o conferma aggiuntiva per l’utente.

Scenario di attacco

Un utente malintenzionato potrebbe creare un sito Web falso che offre un nuovo servizio di portafoglio crittografico.

Il sito Web potrebbe indurre l’utente a creare un nuovo portafoglio richiedendogli di scaricare le proprie chiavi di “ripristino”..

Queste chiavi sarebbero in realtà un file zip contenente un collegamento simbolico a un file o una cartella riservata sul computer dell’utente, come le credenziali di un fornitore di servizi cloud. Quando l’utente decomprime e carica le chiavi di “ripristino” sul sito Web, il collegamento simbolico verrebbe elaborato e l’attaccante otterrebbe l’accesso al file sensibile. L’utente potrebbe anche non rendersi conto che qualcosa non va, poiché il sito Web potrebbe essere progettato in modo da sembrare legittimo e il processo di download e caricamento delle chiavi di “ripristino” potrebbe sembrare normale. Questo scenario dimostra il potenziale impatto del collegamento simbolico in seguito alla vulnerabilità su Chrome e sui browser basati su Chromium.

Molti portafogli crittografici e altri servizi online richiedono agli utenti di scaricare chiavi di “recupero” per accedere ai propri account. Queste chiavi fungono da backup nel caso in cui l’utente perda l’accesso al proprio account per qualsiasi motivo, ad esempio dimenticando la password. È normale che gli utenti scarichino queste chiavi e poi le carichino nuovamente sul sito Web per verificare la loro proprietà dell’account.

Nello scenario di attacco sopra descritto, l’attaccante trarrebbe vantaggio da questa pratica comune fornendo all’utente un file zip contenente un collegamento simbolico anziché le chiavi di ripristino effettive. Quando l’utente decomprime e carica il file, il collegamento simbolico verrebbe elaborato, consentendo all’attaccante di ottenere l’accesso a file sensibili sul computer dell’utente.

Per dimostrare il potenziale impatto di questa vulnerabilità, è stato creato un attacco proof-of-concept che utilizza i CSS per manipolare l’elemento di input del file nel browser Chrome o basato su Chromium. Ingrandendo l’elemento di input del file, si è potuto garantire che qualsiasi file inserito nella pagina sarebbe stato caricato, indipendentemente da dove era stato rilasciato. Questo ha permesso di sfruttare il collegamento simbolico successivo alla vulnerabilità e rubare i file dal file system dell’utente.

E’ stato utilizzato questo attacco proof-of-concept per creare uno scenario realistico in cui un utente malintenzionato potrebbe indurre un utente a visitare un sito Web dannoso e quindi rubare file sensibili sfruttando il collegamento simbolico in seguito alla vulnerabilità in Chrome. Questo mostra le potenziali conseguenze di questa vulnerabilità.

Puoi dare un’occhiata al proof-of-concept creato per verificare la vulnerabilità “SymStealer” e provarlo visitando la segnalazione di bug originale sul Rilevatore di bug di Chromium. Il codice sorgente completo è disponibile anche lì.

Gli hacker cercano la tua criptovaluta

Gli hacker prendono sempre più di mira individui e organizzazioni che detengono criptovalute, poiché queste risorse digitali possono essere molto preziose. Una tattica comune utilizzata dagli hacker è sfruttare le vulnerabilità nel software, come questa vulnerabilità recentemente rivelata, al fine di ottenere l’accesso ai portafogli crittografici e rubare i fondi che contengono.

Per proteggere le tue risorse crittografiche, è importante mantenere aggiornato il tuo software ed evitare di scaricare file o fare clic su collegamenti da fonti non attendibili. È anche una buona idea utilizzare un portafoglio hardware per archiviare le tue criptovalute, poiché questi dispositivi non sono connessi a Internet e sono quindi meno vulnerabili ai tentativi di hacking. Inoltre, prendi in considerazione l’utilizzo di un gestore di password per generare password complesse e univoche per i tuoi account crittografici e abilita l’autenticazione a due fattori quando possibile. Prendendo queste precauzioni, puoi ridurre il rischio che la tua crittografia venga rubata dagli hacker.

Conclusione

Dopo aver rivelato la vulnerabilità a Google, il team di Imperva ha scoperto che la prima correzione, introdotta in Chrome 107, non risolveva completamente il problema. Il team ha informato Google di ciò e il problema è stato completamente risolto in Chrome 108. È importante mantenere sempre aggiornato il software per proteggersi dalle ultime vulnerabilità e garantire che le informazioni personali e finanziarie rimangano al sicuro.

FONTE

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *