Bl0ckch41nnewsHerramienta evita el nuevo sistema de cifrado de cookies de Google Chrome
Un investigador ha lanzado una herramienta para eludir las nuevas defensas de
Google contra el robo de cookies mediante cifrado, para lograr extraer las
credenciales guardadas del navegador web Chrome.
La herramienta, denominada
Chrome-App-Bound-Encryption-Decryption, fue lanzada por el investigador de ciberseguridad Alexander Hagenah después
de que notara que otros ya estaban descubriendo formas similares de evitarlo.
Aunque la herramienta logra lo que múltiples operaciones de robo de
información ya han agregado a su malware, su disponibilidad pública aumenta el
riesgo para los usuarios de Chrome que continúan almacenando datos
confidenciales en sus navegadores.
Los problemas de cifrado vinculado a aplicaciones de Google
Google introdujo el cifrado vinculado a aplicaciones (App-Bound) en julio
(Chrome 127) como un nuevo mecanismo de protección que cifra las cookies
utilizando un servicio de Windows que se ejecuta con privilegios de System.
El objetivo era proteger la información confidencial del malware de robo de
información, que se ejecuta con los permisos del usuario registrado, lo que
hace que sea imposible descifrar las cookies robadas sin obtener primero
privilegios de System y potencialmente generar alarmas en el software de
seguridad.
«Como el servicio App-Bound se ejecuta con privilegios del sistema, los
atacantes necesitan hacer algo más que simplemente convencer a un usuario
para que ejecute una aplicación maliciosa»,
explicó Google en julio.
«Ahora, el malware tiene que obtener privilegios del sistema o inyectar
código en Chrome, algo que el software legítimo no debería hacer».
Sin embargo, en septiembre, varios ladrones de información habían encontrado
formas de eludir la nueva función de seguridad y proporcionar a sus clientes
(otros cibercriminales) la capacidad de volver a robar y descifrar información
confidencial de Google Chrome.
Google dijo entonces que el juego del «gato y el ratón» entre los
desarrolladores de los ladrones de información y sus ingenieros siempre fue
esperado y que nunca asumieron que sus mecanismos de defensa serían a prueba
de balas.
Bypass público
Ayer, Hagenah puso a disposición en GitHub su herramienta de bypass,
compartiendo el
código fuente
que permite a cualquier persona aprender de la herramienta y compilarla.
«Esta herramienta descifra las claves cifradas de App-Bound almacenadas en el archivo de estado local de Chrome, utilizando el servicio
IElevator basado en COM interno de Chrome»,
se lee
en la descripción del proyecto.
Para utilizar la herramienta, los usuarios deben copiar el ejecutable en el
directorio de Google Chrome, que normalmente se encuentra en
C:Program FilesGoogleChromeApplication. Esta carpeta está
protegida, por lo que los usuarios primero deben obtener privilegios de
administrador para copiar el ejecutable en esa carpeta.
En términos de su impacto real en la seguridad de Chrome, el investigador
g0njxa dijo
que la herramienta de Hagenah demuestra un método básico que la mayoría de los
ladrones de información ya han superado para robar cookies de todas las
versiones de Google Chrome.
El analista de malware de Toyota,
Russian Panda, también confirmó que el método de Hagenah parece similar a los primeros
enfoques de evasión que adoptaron los ladrones de información cuando Google
implementó por primera vez el cifrado App-Bound en Chrome.
«Lumma utilizaba este método: crear una instancia de la interfaz IElevator
de Chrome a través de COM para acceder al Servicio Elevation de Chrome para
descifrar las cookies, pero esto puede ser bastante ruidoso y fácil de
detectar», dijo Russian Panda.
«Ahora, están utilizando un descifrado indirecto sin interactuar
directamente con el Servicio Elevation de Chrome».
Fuente:
BC
Los comentarios están cerrados.