Chrome

ある研究者が、グーグルの新しいApp-Bound暗号化クッキー盗難防御を回避し、Chromeウェブブラウザから保存された認証情報を抽出するツールを公開した。

このツールは「Chrome-App-Bound-Encryption-Decryption」と名付けられ、サイバーセキュリティ研究者のAlexander Hagenah氏が、他の研究者がすでに同様のバイパスを発見していることに気づいて公開した。

このツールは、複数の情報窃盗犯がすでにマルウェアに追加していることを実現しているが、一般に公開されたことで、ブラウザに機密データを保存し続けるChromeユーザーのリスクが高まっている。

グーグルのアプリバウンド暗号化問題

グーグルは7月(Chrome 127)に、SYSTEM権限で実行されるWindowsサービスを使用してクッキーを暗号化する新しい保護メカニズムとして、アプリケーション・バウンド(App-Bound)暗号化を導入した

その目的は、ログに記録されたユーザの権限で実行される情報窃取マルウェアから機密情報を保護することで、最初にSYSTEM権限を得ることなく盗まれたクッキーを復号化することを不可能にし、セキュリティ・ソフトウェアのアラームを潜在的に高めることでした。

「App-Boundサービスはシステム権限で実行されるため、攻撃者はユーザーをだまして悪意のあるアプリを実行させる以上のことをする必要があります

「現在、マルウェアはシステム特権を得るか、Chromeにコードを注入する必要があります。

しかし9月までに、複数の情報窃盗犯がこの新セキュリティ機能を回避する方法を発見し、サイバー犯罪者の顧客に再びGoogle Chromeから機密情報を盗み出し、復号化する機能を提供していた。

グーグルは当時、情報窃盗犯の開発者と同社のエンジニアとの間で「猫とネズミ」のような駆け引きが行われることは常に予想されていたことであり、自社の防御メカニズムが防弾仕様になるとは想定していなかったと述べている。

その代わり、App-Bound暗号化を導入することで、より健全なシステムを徐々に構築するための基盤をようやく築くことができたと期待している。以下は、当時のグーグルの回答である:

「私たちは、この新しい防御が情報窃取者の状況を混乱させたことを認識しており、ブログで述べたように、この防御によって攻撃者の行動がインジェクションやメモリスクレイピングのような、より観察可能なテクニックにシフトすることを期待しています。これは、私たちが目にした新たな行動と一致しています。

私たちは、OSベンダーやAVベンダーと協力し、このような新しいタイプの攻撃をより確実に検知するための努力を続けています。- グーグル広報担当者

バイパスの公開

昨日、Hagenah氏はApp-Bound暗号化バイパス・ツールをGitHubで公開し、ソースコードを共有した。

“このツールは、Chromeの内部COMベースのIElevatorサービスを使って、Chromeのローカルステートファイルに保存されているApp-Bound暗号化キーを解読します

“このツールは、ChromeがApp-Bound Encryption (ABE)を介して保護するこれらのキーを取得および復号化する方法を提供し、クッキーのようなセキュアなデータ(将来的にはパスワードや支払い情報)への不正アクセスを防止します。”

xaitax Tweet

このツールを使用するには、通常C:˶Program FilesGoogleChromeApplicationにあるGoogle Chromeディレクトリに実行ファイルをコピーする必要があります。このフォルダは保護されているため、実行ファイルをこのフォルダにコピーするには、まず管理者権限を取得する必要がある。

しかし、多くのWindowsユーザー、特にコンシューマーは管理者権限を持つアカウントを使っているため、これは一般的に簡単に実現できる。

Chromeのセキュリティに対する実際の影響について、研究者のg0njxa氏は、Hagenah氏のツールは、ほとんどの情報窃盗犯が現在ではGoogle Chromeのすべてのバージョンからクッキーを盗むために凌駕している基本的な方法を示していると語った。

トヨタのマルウェアアナリストであるRussian Panda氏も、Hagenah氏の手法が、GoogleがChromeにApp-Bound暗号化を初めて実装した際に情報窃盗犯が取った初期の迂回アプローチに似ていることを確認している。

「Lummaはこの方法、つまりCOMを通してChrome IElevatorインターフェースをインスタンス化し、ChromeのElevation Serviceにアクセスしてクッキーを復号化する方法を使用していましたが、これは非常にノイズが多く、簡単に検出される可能性があります。

「今、彼らはChromeの昇格サービスと直接対話することなく、間接的な復号化を使用しています”。

しかし、g0njxaは、Googleはまだ追いついていないので、Chromeに保存されているユーザーの秘密は、新しいツールを使用して簡単に盗むことができるとコメントしている。

このツールのリリースを受け、グーグルは以下の声明を.NETと共有した:

「このコード(xaitaxのもの)には管理者権限が必要であり、この種の攻撃を成功させるために必要なアクセス権限を引き上げることに成功したことを示しています。

管理者権限が必要なのは事実だが、情報窃取マルウェアの操作には影響を与えていないようだ。このマルウェアは、ゼロデイ脆弱性GitHubの問題の偽修正、さらにはStackOverflow上の回答を通じてユーザーを標的にし、過去6ヶ月で増加の一途をたどっている。