Un investigador ha lanzado una herramienta para eludir las nuevas defensas de Google contra el robo de cookies mediante cifrado, para lograr extraer las credenciales guardadas del navegador web Chrome.
La herramienta, denominada Chrome-App-Bound-Encryption-Decryption, fue lanzada por el investigador de ciberseguridad Alexander Hagenah después de que notara que otros ya estaban descubriendo formas similares de evitarlo.
Aunque la herramienta logra lo que múltiples operaciones de robo de información ya han agregado a su malware, su disponibilidad pública aumenta el riesgo para los usuarios de Chrome que continúan almacenando datos confidenciales en sus navegadores.
Los problemas de cifrado vinculado a aplicaciones de Google
Google introdujo el cifrado vinculado a aplicaciones (App-Bound) en julio (Chrome 127) como un nuevo mecanismo de protección que cifra las cookies utilizando un servicio de Windows que se ejecuta con privilegios de System.
El objetivo era proteger la información confidencial del malware de robo de información, que se ejecuta con los permisos del usuario registrado, lo que hace que sea imposible descifrar las cookies robadas sin obtener primero privilegios de System y potencialmente generar alarmas en el software de seguridad.
"Como el servicio App-Bound se ejecuta con privilegios del sistema, los atacantes necesitan hacer algo más que simplemente convencer a un usuario para que ejecute una aplicación maliciosa", explicó Google en julio. "Ahora, el malware tiene que obtener privilegios del sistema o inyectar código en Chrome, algo que el software legítimo no debería hacer".
Sin embargo, en septiembre, varios ladrones de información habían encontrado formas de eludir la nueva función de seguridad y proporcionar a sus clientes (otros cibercriminales) la capacidad de volver a robar y descifrar información confidencial de Google Chrome.
Google dijo entonces que el juego del "gato y el ratón" entre los desarrolladores de los ladrones de información y sus ingenieros siempre fue esperado y que nunca asumieron que sus mecanismos de defensa serían a prueba de balas.
Bypass público
Ayer, Hagenah puso a disposición en GitHub su herramienta de bypass, compartiendo el código fuente que permite a cualquier persona aprender de la herramienta y compilarla.
"Esta herramienta descifra las claves cifradas de App-Bound almacenadas en el archivo de estado local de Chrome, utilizando el servicio IElevator basado en COM interno de Chrome", se lee en la descripción del proyecto.
Para utilizar la herramienta, los usuarios deben copiar el ejecutable en el directorio de Google Chrome, que normalmente se encuentra en C:\Program Files\Google\Chrome\Application. Esta carpeta está protegida, por lo que los usuarios primero deben obtener privilegios de administrador para copiar el ejecutable en esa carpeta.
En términos de su impacto real en la seguridad de Chrome, el investigador g0njxa dijo que la herramienta de Hagenah demuestra un método básico que la mayoría de los ladrones de información ya han superado para robar cookies de todas las versiones de Google Chrome.
El analista de malware de Toyota, Russian Panda, también confirmó que el método de Hagenah parece similar a los primeros enfoques de evasión que adoptaron los ladrones de información cuando Google implementó por primera vez el cifrado App-Bound en Chrome.
"Lumma utilizaba este método: crear una instancia de la interfaz IElevator de Chrome a través de COM para acceder al Servicio Elevation de Chrome para descifrar las cookies, pero esto puede ser bastante ruidoso y fácil de detectar", dijo Russian Panda. "Ahora, están utilizando un descifrado indirecto sin interactuar directamente con el Servicio Elevation de Chrome".
Fuente: BC