研究发现,攻击者可以利用Chromium浏览器的书签同步功能来泄露数据。然而,研究发现,这种操纵也为网络犯罪分子提供了便利的攻击途径。SANS技术学院的学术研究员DavidPrefer的发现是攻击者如何滥用浏览器功能从受感染环境中窃取数据并执行其他恶意功能的研究的一部分。总的来说,书签可能被滥用以从企业环境中窃取大量被盗数据,或者从中部署攻击工具和恶意有效负载,而检测很少或根本没有检测到。在最近的一篇技术论文中,Prevor将这个过程描述为“bruggling”——浏览器和偷渡者的谐音。这是一种新颖的数据渗漏向量,他使用名为“Brugglemark”的概念验证(PoC)PowerShell脚本对其进行了演示。泄漏原理如果攻击者已经渗透到系统环境中,他们可以窃取受害用户的浏览器同步凭证,或者自行创建浏览器配置文件,并在另一个设备系统中访问这些书签。攻击者可以使用相同的技术将恶意负载和攻击工具潜入系统环境。在实际层面上,Prevor举例说明攻击者可能已经破坏了企业环境并访问了敏感文件。为了通过书签同步泄露数据,攻击者首先需要将数据放入可以作为书签存储的形式。为此,攻击者可以简单地将数据编码为base64格式,然后将文本拆分为单独的块并将每个块保存为单独的书签。Prevor通过反复试验发现,如今的浏览器允许将大量字符存储为单个书签,实际数量因浏览器而异,例如在使用Brave浏览器时Prevor发现他只需要使用两个Bookmarks即可快速同步整本《勇敢的新世界》(美丽新世界)书,而用Chrome浏览器做同样的事情需要59个书签。Prevor在测试中还发现,浏览器配置文件一次可以同步多达200,000个书签。一旦文本被保存为书签并同步,攻击者需要做的就是从另一台设备登录浏览器,访问、重组和解码这些书签从base64返回原始文本。Prevor表示,在同步过程中没有任何漏洞被利用,主要关注如何恶意滥用书签同步的实用功能。Prevor的研究重点是浏览器市场份额领先者Chrome,以及Edge、Brave和Opera等其他浏览器,这些浏览器都基于与Chrome相同的开源Chromium项目。但他指出,Bruggling也可能适用于Firefox和Safari等浏览器。根据SANS研究所研究主任JohannesUllrich的说法,通过书签同步进行数据泄露为攻击者提供了一种绕过大多数基于主机和网络的检测工具的方法。对于大多数检测工具,此流量将显示为Google或任何其他浏览器的正常同步流量。值得注意的是,书签同步可能不是唯一可以被滥用的功能,Prevor说,自动填充、扩展程序、浏览器历史记录、存储的密码、首选项和主题都可以被同步和滥用,但这些还需要进一步研究。预防建议Prevor建议组织可以通过使用组策略禁用书签同步来降低数据泄露的风险。另一种选择是限制通过登录同步的电子邮件数量,攻击者将无法与自己的帐户同步。此外,浏览器供应商可以根据帐户年龄或从新地理位置登录等因素动态限制书签同步。同样,也可以屏蔽包含base64编码的书签和包含过多名称和URL的书签。参考来源:https://www.darkreading.com/cloud/chromium-browsers-data-exfiltration-bookmark-syncing
