Posté le mai 4, 2020 à 15:03
L’EXTENSION CURSEDCHROME PEUT PERMETTRE À DES HACKERS DE COMPROMETTRE VOS SYSTÈMES
La semaine dernière, un chercheur en sécurité a publié un article montrant qu’une extension Chrome, qui a fait ses preuves, utilise les navigateurs Chrome comme des bots proxys. Les bots proxys permettent aux hackers de naviguer sur le web en utilisant le système d’un utilisateur compromis.
Le logiciel, connu sous le nom de CursedChrome, a été développé par le chercheur en sécurité Mathew Bryant et enregistré en tant que projet open source sur GitHub.
CursedChrome se présente sous deux variantes : le composant côté serveur et la variante côté client. Le côté serveur est le panneau de contrôle principal des robots CursedChrome, tandis que le côté client est l’extension de Chrome.
Les attaquants peuvent infiltrer les systèmes en utilisant le logiciel
Après l’installation de l’extension sur certains navigateurs, l’attaquant pourrait se connecter au panneau de configuration du CursedChrome et se connecter aux hôtes concernés. Un simple Websocket connecte à la fois le panneau de contrôle et l’extension, qui fonctionne comme un reverse proxy HTTP typique.
Par conséquent, après une connexion réussie au système compromis, l’attaquant pourra naviguer sur le web avec un navigateur piraté. Il peut ainsi voler des identités en ligne et des sessions de connexion pour accéder à des zones restreintes, telles que les applications d’entreprise ou les intranets.
La cybersécurité a été mal accueillie à la sortie de CursedChrome, car beaucoup pensent qu’il a permis aux hackers d’infiltrer plus facilement les systèmes. Il pourrait donner aux attaquants la possibilité de créer leur propre CursedChrome malveillant à l’avenir.
CursedChrome a été conçu comme un système « pentest » ou test d’intrusion
En réponse aux plaintes et aux réserves de la communauté de la cybersécurité à propos de CursedChrome, Bryant a expliqué qu’il n’avait pas l’intention de faciliter la tâche des hackers pour qu’ils puissent concevoir les leurs à l’avenir.
Il a dit qu’il avait décidé de garder le code pour un accès open source parce qu’il voulait que les pentesteurs et les professionnels de Red Team sachent comment déterminer correctement le « scénario d’extension de navigateur malveillant ».
Bryan fait référence aux experts en cybersécurité qui sont employés par les entreprises pour pénétrer dans leurs serveurs afin de découvrir les éventuelles failles de sécurité de l’entreprise.
Il a déclaré que le travail de ces groupes de hackers est très important pour l’organisation qui les paie car ils peuvent découvrir toute vulnérabilité et les corriger avant que le hacker du darknet ne le découvre.
« L’outil d’open source est important pour les Red Teams pour les mêmes raisons que n’importe quel autre travail », a déclaré Bryant.
Il a également déclaré que cela aidera les équipes de différentes organisations à gagner du temps en évitant de tout réécrire à chaque fois qu’elles font un test de pénétration ou un Red Team. L’importance ne peut être sous-estimée car les Red Teams et les pentester font leur travail dans des délais extrêmement courts.
CursedChrome travaille sur une technologie déjà existante
Bryant a également déclaré que CursedChrome est loin d’être unique au point que les attaquants ne pouvaient pas se permettre de le construire eux-mêmes. Il a déclaré que même s’il ne l’avait pas créé, les hackers qui veulent le construire pour le plaisir d’attaquer des systèmes peuvent le faire aussi.
Selon lui, CursedChrome fonctionne sur des technologies existantes et il n’y a rien de nouveau utilisé dans la technologie que les hackers n’ont pas vu.
Des outils similaires comme le protocole open source BeEF et le « Browser’s pivot », qui ont la même technologie que CursedChrome existent depuis longtemps.
De plus, des détails techniques gratuits sont disponibles en open source sur la façon de mener l’attaque.
Les attaquants auront du mal à armer le logiciel
De plus, Bryan a déclaré qu’il ne s’inquiète pas de savoir si les hackers pourraient utiliser le code pour des raisons douteuses. Il a dit que pour ce faire, l’attaquant devrait soit installer CursedChrome en mode développeur, soit appliquer une politique d’entreprise. Il pourrait également l’utiliser comme arme en hébergeant l’extension sur la boutique en ligne de Chrome.
Il a ajouté que les options dont disposent les attaquants sont quasiment impossibles puisque les deux scénarios nécessitent une authentification plus poussée du réseau de l’entreprise.
Bryan a dit qu’il a été inspiré pour développer CursedChrome parce qu’il veut sensibiliser les entreprises aux dangers de l’extension Chrome malveillante et aux dégâts qu’elle peut causer.
De nos jours, les extensions de navigateur sont plus vitales car les entreprises utilisent de plus en plus d’outils basés sur le web. Si un employé n’a pas respecté les règles de sécurité et installe des extensions dangereuses, il peut ouvrir des failles pour que les attaquants puissent lancer leurs outils malveillants dans leurs systèmes. Cela permettra aux hackers de contourner les filtres VPN ou les pare-feu.
Mais il est essentiel de sensibiliser davantage les employés au niveau d’accès qu’ils accordent aux autres lorsqu’ils installent des extensions aléatoires sur leurs navigateurs.
Une extension telle que CursedChrome peut montrer aux organisations à quel point elles sont exposées si elles ne contrôlent pas le type d’extensions que leurs employés installent dans leurs systèmes, a-t-il conclu.
