ИБ-эксперт Александр Хагена (Alexander Hagenah) опубликовал в открытом доступе инструмент Chrome-App-Bound-Encryption-Decryption для обхода новой защитной функции App-Bound Encryption в Chrome, которая предназначена для защиты конфиденциальных данных, включая файлы cookie.
Напомним, что функция App-Bound Encryption была представлена минувшим летом, с релизом Chrome 127. Как рассказывали разработчики браузера, она предназначается для шифрования файлов cookie и сохраненных паролей с помощью службы Windows, которая работает с системными привилегиями. То есть это не дает вредоносным программам, работающим с правами залогиненного пользователя, похитить секреты, хранящиеся в Chrome. Ведь в теории для обхода такой защиты малвари понадобятся системные привилегии, а получить их незаметно не получится.
После того как в сети заговорили о том, что малварь научилась обходить App-Bound Encryption, представители Google сообщили СМИ, что это было ожидаемо. В компании не рассчитывали создать «пуленепробиваемую» защиту, и шифрование App-Bound должно было лишь заложить основу для постепенного создания более надежной системы.
«Нам известно о том, что новая защита вызвала переполох среди разработчиков инфостилеров. Как мы уже писали в блоге, мы ожидаем, что эта защита изменит поведение злоумышленников в сторону более заметных методов атак, включая инъекции и скрапинг памяти. Именно это мы и наблюдаем теперь», — сообщали тогда в Google.
Теперь, когда Хагена открыто представил свое решение для обхода App-Bound Encryption на GitHub, любой желающий может изучить и скомпилировать этот инструмент.
«Этот инструмент расшифровывает ключи App-Bound Encryption, хранящиеся в файле Local State Chrome, используя внутреннюю службу Chrome IElevator на базе COM, — говорится в описании проекта. — Инструмент позволяет извлечь и расшифровать ключи, которые Chrome защищает с помощью App-Bound Encryption, чтобы предотвратить доступ к защищенным данным, таким как cookie, пароли и платежные данные».
Как сообщает издание Bleeping Computer, со ссылкой на ИБ-специалиста, известного под ником g0njxa, инструмент Хагены использует базовый метод обхода App-Bound Encryption, который большинство инфостилеров уже превзошли. Однако этот метод по-прежнему работает, так как разработчики Chrome еще не выпустили патчи.
Эту информацию подтверждают и аналитики из компании eSentire, по словам которых, метод Хагены похож на ранние способы обхода защиты, которые использовали злоумышленники, когда App-Bound Encryption только представили.
«[Стилер] Lumma использовал этот метод — инстанцирование интерфейса Chrome IElevator посредством COM для доступа к Chrome Elevation Service для расшифровки cookies, но это довольно "шумно" и легко обнаруживается. Теперь [хакеры] используют непрямую расшифровку, не взаимодействуя непосредственно с Chrome Elevation Service», — рассказывают в eSentire.
Разработчики Google сообщили изданию, что не видят ничего страшного в релизе такого инструмента. Так как для его работы требуются прав администратора, в компании считают, что «успешно повысили уровень доступа, необходимый для эффективных атак такого типа».
