-
09/04/2020
-
114
-
1.130 bài viết
“Phantom Extensions”: Khi trình duyệt Chrome và Edge trở thành cửa ngõ rò rỉ dữ liệu
Trình duyệt web vốn được coi là “cửa sổ” an toàn để người dùng kết nối Internet. Thế nhưng, nghiên cứu mới đây từ công ty an ninh mạng Synacktiv đã chỉ ra một kỹ thuật tấn công mới vô cùng nguy hiểm, tin tặc có thể cài đặt “tiện ích mở rộng ma” (phantom extensions) vào các trình duyệt dựa trên Chromium như: Google Chrome, Microsoft Edge và Brave mà không cần sự đồng ý của người dùng và không thông qua Chrome Web Store.
Điều này không chỉ mở ra con đường mới để kẻ tấn công đánh cắp dữ liệu nhạy cảm, mà còn cho thấy một lỗ hổng thiết kế nguy hiểm có thể bị khai thác ở quy mô doanh nghiệp.
Kỹ thuật này được nhóm nghiên cứu của Synacktiv công bố, sau khi họ phân tích cách Chromium quản lý các tiện ích mở rộng. Các phát hiện nhắm trực tiếp vào hệ thống Windows, nơi Chrome và Edge lưu thông tin cấu hình trong các file JSON ở thư mục %AppData% hoặc các file “Secure Preferences”.
Thông thường, mỗi tiện ích mở rộng đều có mã định danh (extension ID) được tạo ra từ khóa công khai hoặc đường dẫn cài đặt, kết hợp với hàm băm SHA-256. Để bảo đảm tính toàn vẹn, Chromium còn dùng HMAC (một thuật toán xác thực) để ký số các phần quan trọng như thông tin tiện ích và cờ “developer mode”.
Tuy nhiên, Synacktiv đã đảo ngược được cơ chế HMAC này (nằm trong file tài nguyên resources.pak của Chromium) và chứng minh rằng kẻ tấn công có thể:
Đáng lo ngại hơn, ngay cả trong môi trường doanh nghiệp nơi quản trị viên thường áp dụng Group Policy (GPO) để kiểm soát tiện ích, kỹ thuật này vẫn có cách qua mặt. Synacktiv đã mô tả ba phương thức chính:
Nguy cơ này chủ yếu nhắm vào mọi hệ thống sử dụng trình duyệt dựa trên Chromium, bao gồm Google Chrome, Edge, Brave… Các tổ chức doanh nghiệp vốn dựa nhiều vào extension để nâng cao năng suất, sẽ đặc biệt dễ bị tổn thương bởi tin tặc có thể lợi dụng chính các tiện ích được cho phép để “ngụy trang” mã độc.
Phát hiện của các chuyên gia cho thấy, một cơ chế được thiết kế để bảo vệ trình duyệt lại có thể bị lợi dụng để che giấu tiện ích độc hại. Điều này đặt ra mối đe dọa không nhỏ cho người dùng cá nhân lẫn doanh nghiệp, bởi một khi trình duyệt bị xâm phạm thì toàn bộ dữ liệu số đều rơi vào nguy cơ bị đánh cắp.
Chromium-based browsers phổ biến toàn cầu ở cả cá nhân và doanh nghiệp; lỗ hổng chỉnh sửa Preferences và bypass policy có thể ảnh hưởng nhiều tổ chức ở nhiều quốc gia, bao gồm Việt Nam. Kỹ thuật tấn công phức tạp, kết hợp thao tác cấu hình, tạo MAC hợp lệ và vượt qua quản trị doanh nghiệp; có thể duy trì persistence và mở rộng trên mạng nếu không được giám sát. Phát hiện và phòng thủ tích cực là cần thiết vì phantom extensions có thể qua whitelist và dẫn tới rò rỉ dữ liệu và di chuyển lateral.
Để phòng ngừa, các chuyên gia khuyến cáo:
Điều này không chỉ mở ra con đường mới để kẻ tấn công đánh cắp dữ liệu nhạy cảm, mà còn cho thấy một lỗ hổng thiết kế nguy hiểm có thể bị khai thác ở quy mô doanh nghiệp.
Kỹ thuật này được nhóm nghiên cứu của Synacktiv công bố, sau khi họ phân tích cách Chromium quản lý các tiện ích mở rộng. Các phát hiện nhắm trực tiếp vào hệ thống Windows, nơi Chrome và Edge lưu thông tin cấu hình trong các file JSON ở thư mục %AppData% hoặc các file “Secure Preferences”.
Thông thường, mỗi tiện ích mở rộng đều có mã định danh (extension ID) được tạo ra từ khóa công khai hoặc đường dẫn cài đặt, kết hợp với hàm băm SHA-256. Để bảo đảm tính toàn vẹn, Chromium còn dùng HMAC (một thuật toán xác thực) để ký số các phần quan trọng như thông tin tiện ích và cờ “developer mode”.
Tuy nhiên, Synacktiv đã đảo ngược được cơ chế HMAC này (nằm trong file tài nguyên resources.pak của Chromium) và chứng minh rằng kẻ tấn công có thể:
- Tự tạo extension ID trùng hợp pháp.
- Sinh chữ ký số (MAC) giả hợp lệ cho các tiện ích.
- Âm thầm đăng ký extension độc hại vào trình duyệt của nạn nhân.
Đáng lo ngại hơn, ngay cả trong môi trường doanh nghiệp nơi quản trị viên thường áp dụng Group Policy (GPO) để kiểm soát tiện ích, kỹ thuật này vẫn có cách qua mặt. Synacktiv đã mô tả ba phương thức chính:
- Tái sử dụng khóa RSA của extension hợp pháp (ví dụ: Adobe Acrobat Reader cho Chrome), từ đó tạo ID trùng khớp và “cấy” tiện ích độc hại dưới vỏ bọc quen thuộc.
- Gây xung đột ID: Nếu một extension unpacked (cài thủ công) và extension từ Web Store có cùng ID, Chromium sẽ ưu tiên chạy bản unpacked, mở đường cho tin tặc thay thế tiện ích chính thống.
- Chỉnh sửa registry chính sách: Với quyền admin cục bộ, kẻ tấn công có thể xóa hoặc sửa các khóa registry kiểm soát danh sách extension được phép/cấm, khiến mọi lớp bảo vệ vô hiệu.
- Theo dõi và chặn lưu lượng truy cập.
- Đánh cắp cookie phiên đăng nhập.
- Chạy JavaScript nền để theo dõi hoạt động duyệt web.
- Chèn nội dung độc hại vào các trang web mục tiêu.
Nguy cơ này chủ yếu nhắm vào mọi hệ thống sử dụng trình duyệt dựa trên Chromium, bao gồm Google Chrome, Edge, Brave… Các tổ chức doanh nghiệp vốn dựa nhiều vào extension để nâng cao năng suất, sẽ đặc biệt dễ bị tổn thương bởi tin tặc có thể lợi dụng chính các tiện ích được cho phép để “ngụy trang” mã độc.
Phát hiện của các chuyên gia cho thấy, một cơ chế được thiết kế để bảo vệ trình duyệt lại có thể bị lợi dụng để che giấu tiện ích độc hại. Điều này đặt ra mối đe dọa không nhỏ cho người dùng cá nhân lẫn doanh nghiệp, bởi một khi trình duyệt bị xâm phạm thì toàn bộ dữ liệu số đều rơi vào nguy cơ bị đánh cắp.
Chromium-based browsers phổ biến toàn cầu ở cả cá nhân và doanh nghiệp; lỗ hổng chỉnh sửa Preferences và bypass policy có thể ảnh hưởng nhiều tổ chức ở nhiều quốc gia, bao gồm Việt Nam. Kỹ thuật tấn công phức tạp, kết hợp thao tác cấu hình, tạo MAC hợp lệ và vượt qua quản trị doanh nghiệp; có thể duy trì persistence và mở rộng trên mạng nếu không được giám sát. Phát hiện và phòng thủ tích cực là cần thiết vì phantom extensions có thể qua whitelist và dẫn tới rò rỉ dữ liệu và di chuyển lateral.
Để phòng ngừa, các chuyên gia khuyến cáo:
- Giám sát định kỳ: Theo dõi thay đổi trong file Preferences và tính toàn vẹn của policy registry; rà soát các extensions mới và bất thường.
- Quản trị mạnh mẽ Extensions: Cấu hình ExtensionInstallAllowlist/ExtensionInstallBlocklist chính xác; kiềm chế và kiểm soát extensions unpacked.
- Xác thực nguồn và chữ ký: Chỉ cho phép cài đặt từ Chrome Web Store hoặc nguồn được xác thực trong doanh nghiệp; kiểm tra chữ ký và hash của extensions.
- Kiểm tra an toàn hệ thống: Triển khai memory forensics, rà soát chữ ký và nội dung extension, giám sát lưu lượng liên quan đến extension.
WhiteHat