Cette attaque d’extension du navigateur Google Chrome a compromis les cookies d’authentification.
Les pirates ne prennent pas de vacances, comme le prouve une série de compromission des extensions du navigateur Google Chrome remontant à la mi-décembre et se poursuivant pendant la pause saisonnière. Voici tout ce que vous devez savoir sur les attaques en cours de contournement de l’authentification à deux facteurs de Google Chrome.
Les dernières attaques d’extensions de navigateur Google Chrome expliquées
Comme l’a rapporté Reuters le 27 décembre : «des pirates ont compromis les extensions du navigateur Chrome de plusieurs sociétés différentes lors d’une série d’intrusions.» Les acteurs de la menace sont utiliser les extensions Chrome comme méthodologie d’attaque n’a rien de nouveaumais l’ampleur de cette dernière campagne semble montrer à quel point les pirates sont déterminés à voler les cookies de session et à contourner vos protections d’authentification à deux facteurs.
Bien qu’elle ne constitue qu’une partie de ce qui semble être une campagne coordonnée et de grande envergure visant à cibler les extensions Chrome, l’attaque contre la société de sécurité Cyberhaven mérite d’être examinée car elle explique les dangers potentiels de telles attaques et donne un aperçu de la rapidité avec laquelle y répondre est essentiel.
« Notre équipe a confirmé une cyberattaque malveillante survenue la veille de Noël, affectant l’extension Chrome de Cyberhaven », a déclaré Howard Ting, PDG de la société de détection des attaques de données et de réponse aux incidents, dans une alerte de sécurité. « Nous souhaitons partager tous les détails de l’incident et les mesures que nous prenons pour protéger nos clients et atténuer tout dommage.
L’attaque de l’extension Chrome de Cyberhaven
L’attaque contre les clients de Cyberhaven a débuté le 24 décembre lorsqu’une menace de phishing a réussi à compromettre un employé. Il est important de noter que cela incluait une compromission des informations d’identification qui permettait à l’attaquant d’accéder au Google Chrome Web Store. « L’attaquant a utilisé ces informations d’identification pour publier une version malveillante de notre extension Chrome », a confirmé Ting. L’extension malveillante n’a été découverte que tard le 25 décembre, après quoi elle a été supprimée dans les 60 minutes.
UN enquête préliminaire L’attaque a révélé que le vecteur d’accès initial était un e-mail de phishing envoyé à l’adresse e-mail d’assistance enregistrée pour l’extension Chrome de Cyberhaven, ciblant les développeurs. Cyberhaven a mis cet e-mail à disposition afin d’avertir les autres de ce à quoi ressemble une telle attaque initiale.
L’e-mail de phishing qui a déclenché l’attaque de l’extension Cyberg=haven
Lorsque la victime a cliqué sur le lien, elle s’est retrouvée dans le flux d’autorisation de Google pour « l’ajout d’une application Google OAUTH malveillante appelée Privacy Policy Extension », a déclaré Cyberhaven. Celui-ci était hébergé sur Google.com et faisait partie du processus standard d’octroi d’accès aux applications Google tierces qui, dans ce cas, ont autorisé par inadvertance une application malveillante. « L’employé avait Google Advanced Protection activé et MFA couvrait son compte », a déclaré Cyberhaven. Aucune invite d’authentification multifacteur n’a été reçue et les informations d’identification Google de l’employé n’ont pas été compromises lors de l’attaque. Une extension malveillante (24.10.4) basée sur une version antérieure propre de l’extension officielle Cyberhaven Chrome a ensuite été téléchargée sur le Chrome Store.
Attaque de contournement 2FA de l’extension Chrome : impact, portée et réponse
Selon Ting, l’impact et la portée des attaques de l’extension Cyberhaven Chrome sont les suivants :
La seule version de l’extension Chrome concernée était la 24.10.4, le code malveillant n’étant actif qu’entre le jour de Noël et le lendemain de Noël. Seuls les clients utilisant des navigateurs basés sur Chrome mis à jour automatiquement pendant la période de l’attaque auraient été concernés.
Cependant, pour les navigateurs qui exécutaient l’extension compromise, Cyberhaven a confirmé qu’il « aurait pu exfiltrer les cookies et authentifier les sessions pour certains sites Web ciblés ». L’enquête initiale suggère que les connexions ciblées étaient la publicité sur les réseaux sociaux et les plateformes d’IA.
« Notre enquête a confirmé qu’aucun autre système Cyberhaven, y compris nos processus CI/CD et nos clés de signature de code, n’a été compromis », a déclaré Ting.
Les clients concernés ont été informés par Cyberhaven, ainsi que ceux qui ne sont pas connus pour être concernés, dans un souci de transparence totale. L’extension Chrome malveillante a été supprimée du Chrome Web Store et une version sécurisée, 24.10.5, a été automatiquement déployée. « Pour les clients exécutant la version 24.10.4 de notre extension Chrome pendant la période concernée », a déclaré Ting, « nous vous recommandons fortement de vérifier que votre extension a été mise à jour vers la version 24.10.5 ou une version plus récente. » J’ai contacté Google pour une déclaration.
