Het nieuws haalde dit weekend de krantenkoppen over de uitgebreide aanvalscampagne die zich richtte op browserextensies en deze injecteerde met kwaadaardige code om gebruikersgegevens te stelen. Momenteel zijn meer dan 25 extensies, met een installatiebestand van meer dan twee miljoen gebruikers, gecompromitteerd, en klanten proberen nu hun blootstelling te achterhalen (LayerX, een van de bedrijven die betrokken zijn bij de bescherming tegen kwaadaardige extensies, biedt een gratis dienst om de blootstelling van organisaties te controleren en te herstellen (klik hier om u aan te melden).
Hoewel dit niet de eerste aanval is die zich richt op browserextensies, vormen de reikwijdte en verfijning van deze campagne een aanzienlijke stap voorwaarts in termen van de bedreigingen die browserextensies met zich meebrengen en de risico’s die deze voor organisaties met zich meebrengen.
Nu de details van de aanval bekend zijn gemaakt, moeten gebruikers en organisaties hun risicoblootstelling aan deze aanval en aan browserextensies in het algemeen beoordelen. Dit artikel is bedoeld om organisaties inzicht te geven in de risico’s die browserextensies met zich meebrengen, de implicaties van deze aanval en actiegerichte stappen die ze kunnen nemen om zichzelf te beschermen (voor een diepgaand overzicht, zie een gedetailleerde handleiding over bescherming tegen kwaadaardige browserextensies).
Browserextensies vormen de zachte onderbuik van webbeveiliging
Browserextensies zijn een alomtegenwoordig onderdeel van de browse-ervaring geworden, en veel gebruikers gebruiken dergelijke extensies vaak om hun spelling te corrigeren, kortingsbonnen te vinden, notities vast te zetten en ander productiviteitsgebruik. De meeste gebruikers realiseren zich echter niet dat browserextensies routinematig uitgebreide toegangsrechten krijgen, wat kan leiden tot ernstige gegevensblootstelling als deze rechten in verkeerde handen vallen.
Algemene toegangsrechten die door extensies worden gevraagd, omvatten toegang tot gevoelige gebruikersgegevens zoals cookies, identiteiten, browsegegevens, tekstinvoer en meer, wat kan leiden tot gegevensblootstelling op het lokale eindpunt en diefstal van inloggegevens van gebruikersidentiteiten.
Dit is met name een risico voor organisaties, omdat veel organisaties geen controle hebben over welke browserextensies gebruikers op hun eindpunten installeren, en diefstal van inloggegevens van een bedrijfsaccount kan leiden tot blootstelling en een datalek op organisatieniveau.
Een nieuwe, gevaarlijkere dreiging:
Hoewel de gevolgen van deze aanvalscampagne zich nog steeds ontvouwen en er nog steeds gecompromitteerde extensies worden ontdekt, zijn er een aantal zaken die al kunnen worden opgemerkt:
- Browserextensies worden een groot bedreigingsoppervlak. Deze campagne, gericht op meerdere extensies, laat zien dat hackers kennis nemen van de uitgebreide toegang die wordt verleend tot veel machtigingen en het valse gevoel van veiligheid waarmee veel gebruikers werken, en zich expliciet richten op browserextensies als voertuigen voor gegevensdiefstal.
- GenAI-, productiviteits- en VPN-extensies waren bijzonder gericht: De lijst met getroffen extensies geeft aan dat extensies die te maken hebben met VPN, gegevensverwerking (zoals het maken van aantekeningen of gegevensbeveiliging, of AI-compatibele extensies) voornamelijk het doelwit waren. Het is nog te vroeg om te zeggen of dit komt doordat deze extensies populairder zijn (en daarom aantrekkelijker voor een aanvaller in termen van bereik), of doordat de machtigingen die aan deze extensies worden verleend, aanvallers willen misbruiken.
- Openbare extensies in de Chrome Store zijn zichtbaar. Het lijkt erop dat extensies zijn gecompromitteerd als gevolg van een phishing-campagne gericht op de uitgevers van browserextensies in de Chrome Web Store. De details over wie te targeten zijn blijkbaar verzameld uit de Web Store zelf, die details bevat van de auteur van de extensie, inclusief hun e-mailadres. Hoewel de Chrome Web Store de bekendste bron voor extensies is, is dit niet de enige; sommige zakelijke extensies worden rechtstreeks geïmplementeerd.
Hoe u uw organisatie kunt beschermen:
Hoewel veel gebruikers en organisaties zich niet bewust zijn van de potentiële risico’s die gepaard gaan met browserextensies, zijn er een aantal belangrijke acties die ze kunnen ondernemen om zichzelf te beschermen:
- Controleer alle extensies: Veel organisaties hebben geen volledig beeld van alle extensies die in hun omgeving zijn geïnstalleerd. Veel organisaties staan hun gebruikers toe om welke browser (of browsers) ze ook willen gebruiken, en welke extensies ze ook willen installeren. Zonder een volledig beeld van alle extensies in alle browsers van alle gebruikers is het echter onmogelijk om het bedreigingsoppervlak van uw organisatie te begrijpen. Daarom is een volledige audit van alle browserextensies een fundamentele vereiste voor bescherming tegen kwaadaardige extensies.
- Categoriseer extensies: Zoals deze aanvalscampagne – die vooral gericht was op productiviteits-, VPN- en AI-extensies – aantoont, zijn sommige extensiecategorieën gevoeliger voor kwetsbaarheid dan andere. Een deel hiervan is de populariteit van bepaalde soorten extensies, waardoor ze aantrekkelijk zijn om aan te vallen vanwege hun brede gebruikersbasis (zoals verschillende productiviteitsextensies), en een deel daarvan is vanwege de machtigingen die aan dergelijke extensies zijn verleend, die hackers mogelijk willen gebruiken exploiteren (zoals toegang tot netwerk- en browsegegevens die bijvoorbeeld aan VPN-extensies worden verstrekt). Dit is de reden waarom het categoriseren van extensies een nuttige praktijk is bij het beoordelen van de beveiligingspositie van browserextensies.
- Inventariseer de machtigingen voor extensies: Terwijl het begripvol is welke extensies worden geïnstalleerd in bedrijfsomgevingen is de ene kant van de medaille, de andere kant van de medaille is begrip Wat die extensies kunnen doen. Dit wordt gedaan door hun precieze toegangsrechten op te sommen en alle informatie op te sommen waartoe ze mogelijk toegang hebben.
- Beoordeel het uitbreidingsrisico: Zodra ze begrijpen welke machtigingen ze hebben geïnstalleerd op bedrijfseindpunten en welke informatie deze extensies kunnen aanraken (via hun machtigingen), moeten organisaties het risico beoordelen dat elke individuele extensie met zich meebrengt. Een holistische risicobeoordeling moet zowel het toestemmingsbereik van de extensie omvatten (dat wil zeggen, wat deze kan doen), als externe parameters zoals de reputatie, populariteit, uitgever, installatiemethode en meer (dat wil zeggen, hoeveel we erop vertrouwen). . Deze parameters moeten worden gecombineerd tot een uniforme risicoscore voor elke extensie.
- Pas adaptieve, risicogebaseerde handhaving toeTot slot moeten organisaties, rekening houdend met alle informatie waarover zij beschikken, een adaptief, op risico gebaseerd handhavingsbeleid toepassen dat is afgestemd op hun gebruik, behoeften en risicoprofiel. Ze kunnen beleid definiëren om extensies te blokkeren die bepaalde rechten hebben (bijvoorbeeld toegang tot cookies), of complexere regels definiëren die zijn afgestemd op hun specifieke gebruiksscenario (bijvoorbeeld AI- en VPN-extensies blokkeren met een ‘Hoge’ risicoscore).
Hoewel browserextensies veel productiviteitsvoordelen bieden, vergroten ze ook het bedreigingsoppervlak en het risico van blootstelling van organisaties. De recente aanvalscampagne gericht op browserextensies met kwaadaardige code zou een wake-up call moeten zijn voor organisaties om hun aanpak voor de bescherming tegen kwaadaardige en gecompromitteerde browserextensies te definiëren.
Klik hier om een uitgebreide handleiding te downloaden over de bescherming tegen kwaadaardige browserextensies, zodat organisaties de dreiging volledig kunnen begrijpen, waarom bestaande oplossingen onvoldoende dekking bieden en hoe ze zichzelf kunnen beschermen.