基于Chromium的浏览器(包括Chrome、Edge和Brave)通过JSON偏好文件管理已安装的扩展程序,这些文件存储在%AppData%\Google\User Data\Default\Preferences(适用于加入域的计算机)或Secure Preferences(适用于独立系统)中。
Synacktiv的研究表明,通过直接修改这些文件,攻击者可以让浏览器加载任何扩展程序,而无需用户同意,也无需经过Chrome网上应用店。
一次成功的妥协涉及三个技术前提:预先计算扩展ID、为扩展条目和developer_mode标志生成有效的消息认证码(MAC),以及绕过企业策略控制。
扩展ID是通过SHA-256哈希从扩展的公钥或安装路径中确定性地派生出来的,该哈希被截断为32个十六进制字符,并映射到自定义字母表(a–p)。
Chromium的完整性检查使用一个HMAC,该HMAC以从resources.pak(特别是资源文件146)中提取的静态值作为种子,对关键的JSON密钥进行签名。
攻击者对这种HMAC算法进行逆向操作,以计算出extensions.settings.<crx_id>和extensions.developer_mode的有效MAC,从而实现其后门扩展的静默注册。
绕过Chrome扩展程序组策略控制
企业环境通常通过ExtensionInstallAllowlist和ExtensionInstallBlocklist等策略部署组策略对象(GPO)来将扩展程序加入白名单或黑名单。
三种高级规避方法会破坏这些控制措施:
Synacktiv表示,通过重用企业认可的扩展程序(例如适用于Chrome的Adobe Acrobat Reader)的RSA公钥,攻击者可以生成匹配的扩展程序ID。
然后,他们在该ID下注入一个恶意的未打包扩展程序,绕过基于哈希的允许列表。
当未打包的扩展程序与商店安装的扩展程序拥有相同的ID时,Chromium会优先选择未打包的版本。这种冲突使得攻击者能够秘密覆盖受信任的插件。
Windows 按 LSDOU 顺序应用策略。尽管 Chrome 策略位于 HKCU\Software\Policies\Google\Chrome 下,但本地管理员可以删除或修改注册表项,通过移除允许列表或阻止列表来完全规避策略执行。
利用这些技术,威胁行为者可以部署扩展程序,以拦截网络流量、获取会话Cookie、执行后台服务工作线程,并将内容脚本注入目标网页。
Synacktiv 推出的一个概念验证工具包展示了基于 SMB 的远程部署,以及一个自定义的命令与控制服务器,能够在浏览器进程中执行 JavaScript,并破坏应用绑定加密等保护措施。
要防范这种攻击向量,需要监控偏好文件的未授权更改、验证注册表策略的完整性,并检测异常的扩展注册。
如果没有此类检测机制,“幽灵扩展程序”就会为企业范围的数据泄露和横向移动提供一条隐秘且持久的途径。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
