A SquareX divulgou uma nova pesquisa de ameaças sobre um ataque avançado de navegador intermediário (BitM) direcionado a usuários do Safari. Conforme destacado pela Mandiant , os criminosos têm usado cada vez mais ataques de BitM para roubar credenciais e obter acesso não autorizado a aplicativos SaaS corporativos. Os ataques de BitM funcionam usando um navegador remoto para induzir as vítimas a interagir com um navegador controlado pelo invasor por meio de uma janela pop-up no navegador da vítima. Um ataque de BitM comum envolve a exibição da página de login legítima de um aplicativo SaaS corporativo, enganando as vítimas, fazendo-as divulgar credenciais e outras informações confidenciais, pensando que estão trabalhando em uma janela comum do navegador.
Leia também
Man-in-the-middle no cliente OpenSSH
Alerta: falha no NTLM da Microsoft está sob ataque
Apesar disso, uma falha que os ataques BitM sempre tiveram foi o fato de que a janela pai ainda exibia a URL maliciosa, tornando o ataque menos convincente para um usuário consciente da segurança. No entanto, como parte do projeto Year of Browser Bugs (YOBB), a equipe de pesquisa da SquareX destaca uma grande falha de implementação específica do Safari usando a API de tela cheia . Quando combinada com o BitM, essa vulnerabilidade pode ser explorada para criar um ataque BitM de tela cheia extremamente convincente, onde a janela BitM abre em modo de tela cheia de forma que nenhuma URL suspeita da janela pai seja vista. Os usuários do Safari são especialmente vulneráveis a esse ataque, pois não há um indicador visual claro de usuários entrando em tela cheia. Revelamos essa vulnerabilidade ao Safari e, infelizmente, fomos informados de que não há planos para resolver o problema.
A API de Tela Cheia atual especifica que “o usuário precisa interagir com a página ou um elemento da interface do usuário para que esse recurso funcione”. No entanto, o que a API não especifica é que tipo de interação é necessária para acionar o modo de tela cheia. Consequentemente, invasores podem facilmente incorporar qualquer botão – como um botão de login falso – no pop-up que chama a API de Tela Cheia quando clicado. Isso aciona uma janela BitM em tela cheia que imita perfeitamente uma página de login legítima, incluindo a URL exibida na barra de endereços.
“O ataque BitM em Tela Cheia destaca falhas arquitetônicas e de design nas APIs dos navegadores, especificamente na API em Tela Cheia ”, afirmam os pesquisadores da SquareX. “Usuários podem clicar inadvertidamente em um botão falso e acionar uma janela BitM em tela cheia, especialmente no Safari, onde não há notificação quando o usuário entra no modo de tela cheia. Usuários que normalmente dependem de URLs para verificar a legitimidade de um site não terão nenhuma indicação visual de que estão em um site controlado por um invasor. Com o quão avançado o BitM está se tornando, é fundamental que as empresas tenham medidas de segurança nativas para o navegador para impedir ataques que não podem mais ser identificados visualmente, mesmo pelos indivíduos mais atentos à segurança.”
Embora os ataques BitM tenham sido usados principalmente para roubar credenciais, tokens de sessão e dados de aplicativos SaaS, a variante em tela cheia tem o potencial de causar danos ainda maiores, tornando o ataque imperceptível para a maioria dos usuários corporativos comuns. Por exemplo, o site de destino pode ter um botão que alega direcionar para um recurso governamental e abrir uma página falsa de aconselhamento governamental para disseminar informações enganosas e até mesmo coletar informações confidenciais da empresa e informações de identificação pessoal (PII). A vítima pode até mesmo abrir abas adicionais na janela controlada pelo invasor, permitindo que os adversários monitorem completamente sua atividade de navegação.
Outros navegadores também são vulneráveis a ataques Fullscreen BitM?
Ao contrário do Safari, o Firefox, o Chrome, o Edge e outros navegadores baseados em Chromium exibem uma mensagem ao usuário sempre que o modo de tela cheia é alternado. No entanto, essa notificação é extremamente sutil e momentânea por natureza – a maioria dos funcionários pode não perceber ou considerar isso um sinal suspeito. Além disso, o invasor também pode usar modos e cores escuras para tornar a notificação ainda menos perceptível. Em contraste, o Safari não exige um requisito de mensagens – o único sinal visual de entrada no modo de tela cheia é uma animação de “deslizar”. Assim, embora o ataque não mostre sinais visuais claros nos navegadores Safari, outros navegadores também estão expostos à mesma vulnerabilidade da API FullScreen que torna possível o ataque Fullscreen BitM.
As soluções de segurança existentes não conseguem detectar ataques BitM em tela cheia
Infelizmente, os EDRs têm visibilidade zero do navegador e estão comprovadamente obsoletos quando se trata de detectar qualquer ataque BitM, muito menos sua variante de tela cheia mais avançada. Além disso, orquestrar o ataque com tecnologias como navegador remoto e envio de pixels também permitirá que ele ignore a detecção SASE/SSE, eliminando qualquer tráfego local suspeito. Como resultado, sem acesso a métricas avançadas do navegador, é impossível para as ferramentas de segurança detectarem e mitigarem ataques BitM de tela cheia. Assim, à medida que os ataques de phishing se tornam mais sofisticados para explorar limitações arquitetônicas das APIs do navegador que são impossíveis de corrigir ou levarão um tempo significativo para serem corrigidos pelos provedores do navegador, é fundamental que as empresas repensem sua estratégia de defesa para incluir ataques avançados como o BitM de tela cheia no navegador. Para saber mais sobre esta pesquisa de segurança, visite https://sqrx.com/fullscreen-bitm . A equipe de pesquisa da SquareX também realizará um webinar no dia 5 de junho, às 10h (horário do Pacífico)/13h (horário do Leste), para se aprofundar em toda a cadeia de ataques. Para se inscrever, clique aqui .
