Naplófájlok, riasztások és telemetriai adatok továbbítása adatdiódán keresztül

Tudja meg, hogyan
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Főoldal/ Blog / A ShadyPanda hátsó ajtaját követve, hogyan MetaDefender
Kritikus hálózati biztonság

A ShadyPanda Backdoor-t követően: hogyanEndpoint MetaDefender Endpoint megakadályozni a böngészőbővítmények kihasználását

Írta: OPSWAT
Ossza meg ezt a bejegyzést

A ShadyPanda böngészőbővítményében található hátsóajtó kijavításaEndpoint MetaDefender Endpoint segítségével

A böngészőbővítmények a legtöbb felhasználó számára gyakran ártalmatlannak tűnnek, ezért a biztonságukkal kapcsolatos kétségek nélkül vagy csak csekély habozás után telepítik őket. Ez különösen igaz azokra a bővítményekre, amelyeket maga a böngésző – például a Google Chrome – ajánl és hitelesít. A telepítés után ezek a bővítmények jogosultságot szerezhetnek arra, hogy szinte mindent elolvassanak, amit a felhasználó lát, beleértve az e-maileket, a munkamenetadatokat, a jelszavakat, a billentyűleütéseket és a belső eszközöket is, amelyeket a támadók általában ki akarnak használni.

Amikor a ShadyPanda néven ismert támadó hátsó ajtót csempészett népszerű böngészőbővítményekbe, amelyek több mint 4 000 000 eszközre voltak telepítve, ez ismét rávilágított arra, milyen könnyen tudnak a támadók elrejtőzni a böngészőbővítmények gyakran figyelmen kívül hagyott támadási felületén.

ShadyPanda támadása nem volt az első ilyen jellegű

A ShadyPanda-támadás korántsem egyedülálló eset. Az elmúlt években számos jelentős böngészőbővítmény-sebezhetőségre derült fény:

  • 2025-ben a kutatók felfedeztek egy 18 rosszindulatú bővítményből álló kampányt, amely a Chrome és az Edge böngészőkben követte nyomon a felhasználók viselkedését.
  • 2023-ban a PDF Toolbox, egy több mint 2 millió letöltést elérő Chrome-bővítmény, képes volt tetszőleges kódot beépíteni minden olyan oldalba, amelyet a felhasználók meglátogattak.
  • 2019-ben a DataSpii adatvédelmi incidens – amely olyan kiegészítőkre is kiterjedt, mint a Hover Zoom és a SpeakIt – a felhasználók személyes adatainak, köztük a böngészési tevékenységüknek és egyéb azonosítható adatoknak a gyűjtésével és nyilvánosságra hozatalával járt.
  • 2017-ben az Archive Poster, egy Chrome-bővítmény, amelynek forráskódjában kriptovaluta-bányászati kód volt.
  • 2017-ben a több mint egymillió felhasználóval rendelkező népszerű eszköz, a „Web Developer for Chrome” biztonsági rést szenvedett, amit hirdetések beillesztésére és adathalász támadások végrehajtására használtak ki.

Miért történnek folyamatosan böngészőbővítmény-támadások?

A böngészőbővítmények több tényező miatt is továbbra is népszerű támadási felületnek számítanak:

  1. Automatikus frissítés: A bővítmények a felhasználó beavatkozása nélkül is automatikusan frissülhetnek. Ha egy fejlesztői fiókot feltörnek, vagy rosszindulatú kód kerül a frissítésbe, az pillanatok alatt több millió felhasználót tehet ki veszélynek.
  2. Széles körű jogosultságok, csekély ellenőrzés: A bővítmények gyakran széles körű jogosultságokat igényelnek, ideértve a weboldalak tartalmának olvasását és módosítását, a böngészési tevékenységekhez való hozzáférést, illetve a fájlokkal való interakciót.
  3. A felügyelet hiánya: Számos szervezet nem ellenőrzi, hogy az alkalmazottak milyen kiterjesztéseket telepítenek, milyen jogosultságokat kérnek, illetve hogy a frissítések új fenyegetéseket jelentenek-e.
  4. A felhasználók bizalmát könnyű kihasználni: a felhasználók gyakran azt feltételezik, hogy a böngészőáruházból származó bővítmények biztonságosak, különösen, ha azok hitelesítettek vagy kiemelten szerepelnek.
  5. A biztonság helyett a minősítésekre támaszkodás: Sok felhasználó kizárólag a népszerűség vagy az értékelések alapján telepít bővítményeket, és a kockázatok teljes megértése nélkül adja meg az engedélyeket.

Miért fontos ez?

A böngészőbővítmények mára az egyik leggyakoribb és legkönnyebben kihasználható támadási felületévé váltak. A támadóknak nincs szükségük álcázott kártevőprogramokra vagy bonyolult technikákra ahhoz, hogy behatoljanak a felhasználó eszközébe. Elég, ha egyetlen felhasználó rákattint a „Hozzáadás a Chrome-hoz” gombra, és máris megnyílik az út a böngészőbe és mindenhez, amihez az hozzáfér, így könnyedén kihasználhatók milliók eszközei, mielőtt bárki is észrevenné.

Ha egy rosszindulatú böngészőbővítmény telepítésre kerül, az a következőket teheti:

  • Böngészési adatok, bejelentkezési adatok, cookie-k és munkamenet-azonosítók rögzítése
  • A billentyűleütések rögzítése, jelszavak, üzenetek és bizalmas adatok kiszivárogtatása
  • Vállalati dokumentumok, bizalmas adatok és személyazonosításra alkalmas információk elolvasása és eltulajdonítása
  • Kémprogramokat vagy rosszindulatú szkripteket juttat bármely olyan weboldalra, amelyet a felhasználó meglátogat
  • Új támadási útvonalak létrehozása a felhőszolgáltatásokba és az érzékeny alkalmazásokba
  • A felhasználó beleegyezése nélkül háttérben további rosszindulatú szoftvereket tölt le
  • Fiókok átvétele
  • A forgalmat olyan rosszindulatú weboldalakra irányítja, amelyek automatikusan rosszindulatú szoftvereket töltenek le, vagy társadalmi manipulációs technikákat alkalmaznak
  • Hátsó ajtók betöltése

A szervezetek nem támaszkodhatnak a felhasználókra vagy a böngészőáruházakra ezeknek a fenyegetéseknek a blokkolásában. Szükségük van az végpontokon végrehajtott automatikus ellenőrzésekre.

HogyanEndpoint MetaDefender Endpoint megakadályozni a böngészőbővítmények kihasználását

Endpoint MetaDefender Endpoint a szervezetek számára, hogy a böngészőbővítményeket ugyanúgy kezeljék és ellenőrizzék, ahogyan az alkalmazásokat és USB is.

1. Felismeri a jogosulatlan kiterjesztéseket

Endpoint MetaDefender Endpoint a telepített bővítményeket, összehasonlítja azokat az engedélyezési listával, és jelzi az összes gyanús telepítést. Ezzel biztosítja, hogy a jogosulatlan bővítményekkel rendelkező eszközöket szabályszegőként jelölje meg, és megakadályozza, hogy azok hozzáférjenek a kritikus rendszerekhez.

2. Teljes körű ellenőrzést és áttekinthetőséget biztosít a rendszergazdák számára

My Central Management segítségével a biztonsági csapatok áttekintést kaphatnak az eszközökre telepített összes kiterjesztésről, így kiküszöbölhetik a biztonsági rések kialakulását, és gyorsan orvosolhatják a problémákat az alábbiak révén:

  • A böngészőbővítmények engedélyezési listájának kezelése és testreszabása
  • Az egyes felhasználók vagy eszközök telepített programjainak nyomon követése
  • Egy adott kiterjesztés telepített verzióinak nyomon követése: hány eszközre telepítették azt
  • A veszélynek kitett eszközök és a megsértett szabályok feltárása

3. Biztosítja az eszközök megfelelőségét az érzékeny rendszerekhez való hozzáférés előtt

Endpoint MetaDefender Endpoint ellenőrzi az eszközök biztonsági állapotát és a szabályoknak való megfelelést, és megakadályozza, hogy a szabályoknak nem megfelelő vagy fertőzött végpontok csatlakozzanak a kritikus hálózatokhoz.

4. MegakadályozzaDrive letöltéseket 

Ha egy rosszindulatú bővítmény olyan káros webhelyekre irányítja át a felhasználókat, amelyek automatikus letöltéseket indítanak el,Endpoint MetaDefender Endpoint„Letöltésvédelem” funkciója egy alapvető védelmi réteget biztosít ennek megakadályozására. A funkció aktívan ellenőrzi és megtisztítja a böngészőkön és alkalmazásokon – például a Google Chrome-on, a Microsoft Edge-en és a WhatsAppon – keresztül letöltött fájlokat, és még azelőtt blokkolja a fertőzött fájlokat, hogy azok eljutnának az eszközre.

Végső gondolatok

A rosszindulatú böngészőbővítmények mára állandó támadási felületként jelennek meg, amire a ShadyPanda-incidens is friss példa.Endpoint MetaDefender Endpoint a szervezeteknek ezt a biztonsági rést megszüntetni azáltal, hogy érvényesíti a bővítményekre vonatkozó szabályokat, központosított felügyeletet biztosít, és megakadályozza, hogy nem biztonságos eszközök hozzáférjenek az érzékeny rendszerekhez.

Vegye fel a kapcsolatot szakértőinkkel még ma, és tudjon meg többet arról, hogyanEndpoint MetaDefender Endpoint a kritikus rendszereit.

Beszéljen egy szakértővel
Címkék:

Legutóbbi hozzászólások

Iratkozzon fel az OPSWAT hírlevélre

Kapja meg az OPSWAT legfrissebb vállalati frissítéseit, valamint eseményinformációkat és az iparágat előrevivő hírekről.
Sign Me Up

Kövessen minket a közösségi oldalakon Media

Kövesse az OPSWAT oldalt a LinkedIn-en, Facebookon, Twitteren és YouTube-on!

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.
Feliratkozás