Qualquer extensão pode ser usada como arma para instalar malware em hosts alvo.

Resumo Executivo: Ameaças Invisíveis Podem Facilmente Transformar uma Extensão do Chrome em um RCE (Execução Remota de Código) em Nível de Host.

Desde que foram introduzidas, as extensões de navegador têm sido tratadas como ferramentas de produtividade leves — complementos inofensivos que ficam algures entre os favoritos e as definições. São instaladas casualmente, atualizadas silenciosamente e raramente analisadas criticamente depois de se tornarem parte do fluxo de trabalho diário do utilizador.

Além disso, as extensões de navegador são frequentemente percebidas como riscos de segurança de baixo nível, uma vez que são altamente isoladas do sistema subjacente pelo navegador e operam em um ambiente altamente isolado, dentro dos limites do navegador web.

Essa é uma suposição ultrapassada, pois esta pesquisa demonstra como até mesmo uma extensão sem nenhuma permissão pode burlar o isolamento do navegador e levar à instalação de malware diretamente no computador.

Pesquisadores da LayerX descobriram como qualquer extensão de navegador, mesmo um sem quaisquer permissões de acesso de jeito nenhum, pode ser usado para instalar malware no host alvo. Tudo o que um atacante precisa fazer é adicionar um roteiro invisível para um download legítimo, que é executado quando o download é iniciado. Isso resulta na infecção de si mesmos com malware para execução remota de código, sem que os usuários percebam. 

Como este vetor de exploração requer sem permissões especiais Devido às extensões, ele pode ser usado por qualquer extensão maliciosa. expondo praticamente todos os usuários de extensão à exploração.

O Ponto Cego com o Qual Começamos

As extensões do Chrome operam sob um modelo de segurança muitas vezes negligenciado. Os scripts de conteúdo, ativados por padrão, são projetados para fazer uma coisa muito bem: acessar e modificar páginas da web. Isso não é um bug ou uma configuração incorreta, mas sim a essência do funcionamento das extensões. Qualquer extensão que seja executada em uma página tem, efetivamente, o mesmo nível de acesso que o próprio JavaScript da página.

À primeira vista, isso parece razoável. As extensões precisam modificar páginas para adicionar funcionalidades, inserir elementos de interface do usuário ou aprimorar fluxos de trabalho. Na verdade, esse é o objetivo principal do seu design.

No entanto, essa mesma capacidade tem uma ressalva. Se uma extensão pode fazer tudo o que um site pode fazer, uma extensão maliciosa pode transformar qualquer site legítimo em uma superfície de ataque, de forma invisível e em grande escala. Esse foi o ponto de partida da nossa investigação.

Quando cada download se torna um vetor de ataque

Fizemos uma pergunta simples: qual é a ação mais valiosa que um agente malicioso poderia realizar de dentro do navegador sem solicitar permissões que levantassem suspeitas?

A resposta é, obviamente, a execução de código.

Ao abusar da natureza irrestrita dos scripts de conteúdo, criamos uma extensão que modifica silenciosamente todos os downloads de arquivos iniciados a partir de qualquer site. O usuário clica em um link de download legítimo em um domínio confiável, usando um navegador de sua confiança. O arquivo é baixado exatamente como esperado.

Mas não é a única coisa que acontece.

Sem comprometer a aplicação original, sem gerar avisos e sem exigir quaisquer permissões adicionaisA extensão adiciona código controlado pelo atacante a todos os executáveis ​​baixados. O programa original continua funcionando normalmente e o usuário vê exatamente o que espera. A partir daí, é o fim do jogo.

Em nossa demonstração, a carga útil simplesmente abre o aplicativo da calculadora como um indicador visual inofensivo. Em um cenário real, ela poderia permitir persistência, movimentação lateral, exfiltração de dados ou controle remoto completo da máquina.

Embora as extensões de navegador sejam supostamente isoladas do sistema de arquivos subjacente e executadas em um ambiente isolado (sandbox) pelo navegador, essa técnica permite que a extensão escape desse ambiente. Nesse ponto, o navegador deixa de atuar como uma barreira. A extensão se torna, efetivamente, um Trojan de Acesso Remoto.

Vídeo POC:

Por que isso é especialmente perigoso

O que torna este ataque preocupante é a sua invisibilidade:

• Não requer permissões suspeitas.
• Não gera nenhum aviso do navegador.
• Não modifica o site original de forma visível para o usuário.
• Os downloads aparecem normalmente para o usuário.

Qualquer extensão, incluindo extensões anteriormente legítimas, poderia introduzir esse comportamento em uma atualização, e os usuários não teriam nenhum sinal confiável de que algo havia mudado.

Este ataque não se baseia em phishing ou confusão do usuário. Ele explora uma vulnerabilidade na cadeia de confiança do navegador. Os usuários confiam em seus navegadores e em determinados sites, mas se não puderem confiar em suas extensões, nem o navegador nem o site poderão protegê-los efetivamente. Instalar uma extensão não confiável é, na prática, equivalente a instalar um malware.

Além disso, esse ataque não pode ser detectado por ferramentas baseadas em proxy/VPN, visto que o domínio acessado é totalmente legítimo e nenhum servidor remoto é contatado para obter o código malicioso. Ademais, o ataque é totalmente compatível com todos os navegadores e pode afetar qualquer navegador baseado no Chromium ou no Mozilla.

Divulgação e resposta da indústria

Reportamos nossas descobertas ao Google e à Mozilla por meio de seus programas de divulgação de vulnerabilidades, seguindo os procedimentos de "divulgação responsável".

O Google afirmou que “Ataques de engenharia social estão fora do escopo do modelo de ameaças do Chrome.” 

A Mozilla respondeu que “Ao conceder acesso a todos os sites a uma extensão, ela pode modificar o conteúdo dos sites, incluindo a alteração dos destinos dos links.”

Ambas as afirmações são tecnicamente corretas, mas também destacam a questão central que esta pesquisa visa esclarecer: uma extensão, pelo simples ato de baixá-la, recebe um enorme poder implícito. 

O modelo atual de segurança de extensões não explica adequadamente ao usuário o impacto que uma extensão não confiável tem em sua experiência de navegação e na segurança de todo o seu sistema.

Existem inúmeras maneiras pelas quais as extensões podem ser exploradas para burlar a confiança do usuário.

O navegador tornou-se, discretamente, um ambiente de execução primário, um canal de distribuição e um plano de controle, permanecendo, em grande parte, sem monitoramento por ferramentas de segurança tradicionais. As extensões situam-se na interseção entre a confiança do usuário e o impacto em nível de sistema.

Como usuários e empresas podem se proteger

Esse tipo de exploração demonstra as limitações da abordagem tradicional de segurança de extensões, que se baseia na análise externa dos parâmetros da extensão, considerando suas permissões, reputação etc. Como não há permissões de qualquer tipo, é muito provável que receba uma pontuação de risco baixa. 

Somente monitorando o comportamento real da extensão é possível revelar sua intenção maliciosa. Isso significa que usuários e organizações precisam migrar da análise estática de extensões para a análise ativa, baseada em comportamento, assim como fazem com malware.

Crédito: Roy Paz e Aviad Gispan, que contribuíram para esta pesquisa.

• Compartilhar