近期,網路安全公司Imperva的紅隊披露了一個名為“SymStealer”的漏洞(CVE-2022-3656),據稱影響超過25億Google Chrome以及基於Chromium的瀏覽器使用者。此漏洞允許攻擊者竊取敏感檔案,如加密錢包和雲提供商憑據。
據悉,Chrome是目前使用最廣泛的瀏覽器,市場佔有率為65.52%。另外兩個排名前6的瀏覽器Opera和Edge也都基於Chromium,這使Chromium的市場佔有率超過了70%。Chromium的流行有諸多好處,如相容性和安全審計。但這也增加了跨瀏覽器漏洞的可能性。
符號連結(symlink,也稱symbolic link)是一種指向另一個檔案或目錄的檔案型別。它允許作業系統將連結的檔案或目錄視為位於符號連結的位置,這可以用於建立快捷方式、重定向檔案路徑或以更靈活的方式組織檔案。然而,如果符號連結處理不當,它們也可能引入漏洞。
在Imperva向Google披露的漏洞中,問題就源自瀏覽器在處理檔案和目錄時與符號連結互動的方式。具體而言,瀏覽器沒有正確檢查符號連結是否指向非法訪問的位置,導致允許竊取敏感檔案。這個問題通常稱之為符號連結跟隨(symbolic link following)。
實際的攻擊場景中,攻擊者可能會偽造一個提供新加密錢包服務的虛假網站。該網站會欺騙使用者透過下載他們的“恢復”金鑰來建立新錢包。
許多加密錢包和其他線上服務要求使用者下載“恢復(recovery)”金鑰才能訪問其帳戶。這些金鑰作為一種備份,防止使用者因任何原因(例如忘記密碼)而無法訪問其帳戶。使用者通常會下載這些金鑰,然後將其上傳回網站,以驗證其對帳戶的所有權。
然而這些金鑰實際上卻是一個包含符號連結到使用者計算機上敏感檔案或資料夾(如雲提供商憑據)的zip檔案。當使用者解壓並將 “恢復”金鑰上傳回網站時,符號連結將被處理,攻擊者就此獲得對敏感檔案的訪問許可權。而使用者甚至都可能沒有意識到任何不對勁,因為該網站可能被設計成看起來十分的合法正規,下載和上傳“恢復”金鑰的過程可能看起來很正常。
Google已經確認了這個漏洞併發布了修復補丁。為了防範這個漏洞,使用者最好更新到最新版本的Chrome或基於Chromium的瀏覽器,以確保自己的檔案不會被盜取。
此外,使用者應該儘量避免在網上下載可疑檔案,特別是那些來自不可信網站的檔案。如果使用者不確定檔案是否可信,可以使用防毒軟體來檢查檔案是否受損或包含惡意軟體。另外,使用者也可以使用一些瀏覽器擴充套件來防禦這個漏洞,例如防篡改保護之類的擴充套件。
編輯:左右裡
資訊來源:Imperva
轉載請註明出處和本文連結
每日漲知識
特洛伊木馬(trojan horse)
一種惡意程式碼物件,看起來是個善意的程式(如遊戲或簡單的實用程式)。它公開執行"覆蓋"功能,而且還帶有未知的有效載荷,如病毒。
﹀
﹀
﹀