信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”，【作者】胡金魚(yú)。

近期，研究人員發(fā)布了一種工具，可以繞過(guò)Google新的App-Bound加密cookie盜竊防御，并從Chrome網(wǎng)絡(luò)瀏覽器中提取保存的憑據(jù)。

該工具名為“Chrome-App-Bound-Encryption-Decryption”，由網(wǎng)絡(luò)安全研究員Alexander Hagenah發(fā)現(xiàn)，其他人已經(jīng)在找出類(lèi)似的繞過(guò)方法。

盡管該工具實(shí)現(xiàn)了多個(gè)信息竊取者操作已添加到其惡意軟件中的功能，但其公開(kāi)可用性增加了繼續(xù)在瀏覽器中存儲(chǔ)敏感數(shù)據(jù)的Chrome用戶(hù)的風(fēng)險(xiǎn)。

Google的應(yīng)用程序綁定加密問(wèn)題

Google在7月份推出了應(yīng)用程序綁定（App-Bound）加密（Chrome 127）作為一種新的保護(hù)機(jī)制，該機(jī)制使用以SYSTEM權(quán)限運(yùn)行的Windows服務(wù)來(lái)加密cookie。

其目標(biāo)是保護(hù)敏感信息免受infostealer惡意軟件的侵害，該惡意軟件在登錄用戶(hù)的權(quán)限下運(yùn)行，使其無(wú)法在沒(méi)有首先獲得系統(tǒng)權(quán)限的情況下解密被盜的cookie，并可能在安全軟件中發(fā)出警報(bào)。

谷歌在7月份曾解釋?zhuān)?ldquo;由于App-Bound服務(wù)是以系統(tǒng)權(quán)限運(yùn)行的，攻擊者需要做的不僅僅是誘騙用戶(hù)運(yùn)行惡意應(yīng)用程序?，F(xiàn)在，惡意軟件必須獲得系統(tǒng)權(quán)限，或者將代碼注入Chrome，這是合法軟件不應(yīng)該做的事情。”

然而，到了9月份，多個(gè)信息竊取者已經(jīng)找到了繞過(guò)新安全功能的方法，并為他們的網(wǎng)絡(luò)犯罪客戶(hù)提供了再次竊取和解密Google Chrome敏感信息的能力。

信息竊取者開(kāi)發(fā)人員與其工程師之間的“貓捉老鼠”游戲一直是意料之中，谷歌從未認(rèn)為自己的防御機(jī)制會(huì)是無(wú)懈可擊的。相反，隨著應(yīng)用程序綁定加密的引入，他們希望最終能為逐步構(gòu)建更健全的系統(tǒng)奠定基礎(chǔ)。

公開(kāi)繞過(guò)

昨天，Hagenah在GitHub上提供了他的App-Bound加密繞過(guò)工具，并共享源代碼，允許任何人學(xué)習(xí)和編譯該工具。

該工具使用Chrome內(nèi)部基于COM的IElevator服務(wù)，解密存儲(chǔ)在Chrome本地狀態(tài)文件中的應(yīng)用程序綁定加密密鑰。提供了一種檢索和解密這些密鑰的方法，Chrome通過(guò)應(yīng)用程序綁定加密(ABE)來(lái)保護(hù)這些密鑰，以防止未經(jīng)授權(quán)訪問(wèn)Cookie等安全數(shù)據(jù)（以及未來(lái)可能的密碼和支付信息）。

要使用該工具，用戶(hù)必須將可執(zhí)行文件復(fù)制到Google Chrome目錄中，該目錄通常位于C:Program FilesGoogleChromeApplication。

該文件夾受保護(hù)，因此用戶(hù)必須首先獲得管理員權(quán)限才能將可執(zhí)行文件復(fù)制到該文件夾。

然而，這通常很容易實(shí)現(xiàn)，因?yàn)樵S多Windows用戶(hù)（尤其是消費(fèi)者）使用具有管理權(quán)限的帳戶(hù)。

就其對(duì)Chrome安全性的實(shí)際影響而言，研究人員g0njxa表示，Hagenah的工具展示了一種大多數(shù)信息竊取者現(xiàn)在已經(jīng)超越的基本方法，可以從所有版本的Google Chrome中竊取cookie。eSentire惡意軟件分析師也證實(shí)，Hagenah的方法看起來(lái)與谷歌首次在Chrome中實(shí)施應(yīng)用程序綁定加密時(shí)信息竊取者所采用的早期繞過(guò)方法類(lèi)似。

Lumma也使用了這種方法——通過(guò)COM實(shí)例化Chrome IElevator接口來(lái)訪問(wèn)Chrome的Elevation Service來(lái)解密cookie，但這可能會(huì)非常嘈雜且易于檢測(cè)?，F(xiàn)在，他們使用間接解密，而不直接與Chrome的高程服務(wù)交互。

不過(guò)，g0njxa評(píng)論稱(chēng)，谷歌仍未趕上，因此使用新工具可以輕松竊取Chrome中存儲(chǔ)的用戶(hù)機(jī)密。

為了響應(yīng)該工具的發(fā)布，Google表示此代碼[xaitax]需要管理員權(quán)限，這也表明已經(jīng)成功提高了實(shí)現(xiàn)此類(lèi)攻擊所需的訪問(wèn)量。

雖然確實(shí)需要管理員權(quán)限，但它似乎并沒(méi)有影響信息竊取惡意軟件操作，這些惡意軟件操作在過(guò)去六個(gè)月中只增加了，通過(guò)零日漏洞、對(duì)GitHub問(wèn)題的虛假修復(fù)，甚至對(duì)堆棧溢出。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/