Un chercheur a publié un outil pour contourner les nouvelles défenses de vol de cookies de cryptage liées aux applications de Google et extraire les informations d’identification enregistrées à partir du navigateur Web Chrome.
L’outil, nommé « Chrome-App-Bound-Encryption-Decryption », a été publié par le chercheur en cybersécurité Alexander Hagenah après avoir remarqué que d’autres découvraient déjà des contournements similaires.
Bien que l’outil réalise ce que plusieurs opérations d’infostealer ont déjà ajouté à leurs logiciels malveillants, sa disponibilité publique augmente le risque pour les utilisateurs de Chrome qui continuent de stocker des données sensibles dans leur navigateur.
Problèmes de cryptage liés aux applications de Google
Google a introduit le cryptage lié à l’application (Lié à l’application) en juillet (Chrome 127) en tant que nouveau mécanisme de protection qui crypte les cookies à l’aide d’un service Windows qui s’exécute avec des privilèges SYSTÈME.
L’objectif était de protéger les informations sensibles contre les logiciels malveillants infostealer, qui s’exécutent avec les autorisations de l’utilisateur connecté, ce qui rend impossible le déchiffrement des cookies volés sans d’abord obtenir des privilèges SYSTÈME et potentiellement déclencher des alarmes dans les logiciels de sécurité.
« Parce que le service lié à l’application fonctionne avec des privilèges système, les attaquants doivent faire plus que simplement inciter un utilisateur à exécuter une application malveillante », a expliqué Google en juillet.
« Désormais, le logiciel malveillant doit obtenir des privilèges système ou injecter du code dans Chrome, ce que les logiciels légitimes ne devraient pas faire. »
Cependant, en septembre, plusieurs voleurs d’informations avaient trouvé des moyens de contourner la nouvelle fonctionnalité de sécurité et d’offrir à leurs clients cybercriminels la possibilité de voler et de déchiffrer à nouveau des informations sensibles de Google Chrome.
Google a alors déclaré à Breachtrace que le jeu du « chat et de la souris » entre les développeurs voleurs d’informations et ses ingénieurs était toujours attendu et qu’ils n’avaient jamais supposé que leurs mécanismes de défense seraient à l’épreuve des balles.
Au lieu de cela, avec l’introduction du cryptage lié aux applications, ils espéraient enfin jeter les bases de la construction progressive d’un système plus sonore. Ci-dessous la réponse de Google de l’époque:
« Nous sommes conscients de la perturbation que cette nouvelle défense a causée au paysage des revendeurs d’informations et, comme nous l’avons indiqué dans le blog, nous nous attendons à ce que cette protection entraîne un changement de comportement des attaquants vers des techniques plus observables telles que l’injection ou le grattage de la mémoire. Cela correspond au nouveau comportement que nous avons vu.
Nous continuons à travailler avec les fournisseurs de systèmes d’exploitation et d’antivirus pour essayer de détecter de manière plus fiable ces nouveaux types d’attaques, ainsi que pour continuer à renforcer les défenses afin d’améliorer la protection contre les revendeurs d’informations pour nos utilisateurs. »- Un porte-parole de Google
Contourner maintenant accessible au public
Hier, Hagenah a rendu son outil de contournement de cryptage lié à l’application disponible sur GitHub, partageant le code source qui permet à quiconque d’apprendre et de compiler l’outil.
« Cet outil déchiffre les clés chiffrées liées à l’application stockées dans le fichier d’état local de Chrome, à l’aide du service IElevator interne basé sur COM de Chrome », lit la description du projet.
« L’outil fournit un moyen de récupérer et de déchiffrer ces clés, que Chrome protège via un cryptage lié à l’application (ABE) pour empêcher l’accès non autorisé à des données sécurisées telles que les cookies (et potentiellement les mots de passe et les informations de paiement à l’avenir). »
Pour utiliser l’outil, les utilisateurs doivent copier l’exécutable dans le répertoire Google Chrome généralement situé à C:\Program Fichiers \ Google \ Chrome \ Application. Ce dossier est protégé, les utilisateurs doivent donc d’abord obtenir des privilèges d’administrateur pour copier l’exécutable dans ce dossier.
Cependant, cela est généralement facile à réaliser car de nombreux utilisateurs Windows, en particulier les consommateurs, utilisent des comptes dotés de privilèges administratifs.
En ce qui concerne son impact réel sur la sécurité de Chrome, le chercheur g0njxa a déclaré à Breachtrace que l’outil de Hagenah démontre une méthode de base que la plupart des revendeurs d’informations ont maintenant dépassée pour voler des cookies de toutes les versions de Google Chrome.
Panda russe, analyste de logiciels malveillants chez Toyota, a également confirmé à Breachtrace que la méthode de Hagenah ressemblait aux premières approches de contournement adoptées par infostealers lorsque Google a implémenté pour la première fois le cryptage lié aux applications dans Chrome.
« Lumma a utilisé cette méthode-instancier l’interface Chrome IElevator via COM pour accéder au service d’élévation de Chrome afin de déchiffrer les cookies, mais cela peut être assez bruyant et facile à détecter », a déclaré Russian Panda à Breachtrace.
« Maintenant, ils utilisent le décryptage indirect sans interagir directement avec le service d’élévation de Chrome ».
Cependant, g0njxa a commenté que Google n’avait toujours pas rattrapé son retard, de sorte que les secrets des utilisateurs stockés dans Chrome peuvent être facilement volés à l’aide du nouvel outil.
En réponse à la sortie de cet outil, Google a partagé la déclaration suivante avec Breachtrace:
« Ce code [de xaitax] nécessite des privilèges d’administrateur, ce qui montre que nous avons réussi à augmenter le nombre d’accès requis pour réussir ce type d’attaque », a déclaré Google à Breachtrace.
Bien qu’il soit vrai que des privilèges d’administrateur soient requis, cela ne semble pas avoir eu d’impact sur les opérations de vol d’informations malveillantes, qui n’ont fait qu’augmenter au cours des six derniers mois, ciblant les utilisateurs via des vulnérabilités zero-day, de faux correctifs pour les problèmes GitHub et même des réponses sur StackOverflow.