Браузер – враг системы: новая техника взлома шлюзов SWG

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
Раскрыта фундаментальная уязвимость в защите, которую невозможно исправить.

image



Компания SquareX и её основатель Вивек Рамачандран, известный эксперт в области кибербезопасности, недавно уязвимость в системах Secure Web Gateway (SWG), которые используются для защиты корпоративных сетей. Оказалось, что все SWG, включённые в рейтинг Gartner Magic Quadrant для SASE и SSE, можно обойти и загрузить вредоносное ПО на систему, не вызывая подозрений у систем безопасности.

Рамачандран разработал более 25 различных методов обхода SWG. Техника взлома называется «сборка на последнем этапе» (Last Mile Reassembly). Все методы обхода сводятся к одному базовому эксплойту — современные браузеры остаются вне поля зрения SWG систем.

SWG были созданы более 15 лет назад и первоначально использовались как SSL-прокси для перехвата трафика, но с развитием облачных технологий их функциональность стала значительно шире. Именно здесь и кроется основная проблема.

Большинство SWG опираются на способность распознавать атаки на уровне приложений по сетевому трафику до того, как трафик попадает в браузер. Если трафик не распознаётся как вредоносный, SWG пропускает его в браузер пользователя, и именно на этом этапе злоумышленник может выполнить атаку. Рамачандран утверждает, что такие уязвимости архитектуры настолько фундаментальны, что их невозможно исправить.

Методика «сборки на последнем этапе» использует простую идею: киберпреступник имеет доступ к компьютеру, которым в данном случае является браузер, и может в последний момент «собрать» атаку, используя различные техники.

Например, хакер может разбить вредоносное ПО, использовать файлы Web Assembly, скрыть вредоносное ПО в других файлах и другими способами разделить его на множество маленьких, неузнаваемых частей. После разбиения на части злоумышленник может доставить вредонос и заставить браузер собрать его без ведома системы безопасности.


Вредоносный файл пересобирается непосредственно в браузере в обход SWG

Одной из причин такой уязвимости является возраст SWG. Системы не способны справляться с современной сложностью веб-браузеров, имея множество неконтролируемых каналов, таких как gRPC, webRTC, WebSocket и WebTorrent, которые остаются совершенно незамеченными.

Рамачандран утверждает, что производители SWG знают о существовании некоторых из обнаруженных уязвимостей, но исправление подорвало бы их подход к безопасности. Специалист отметил, что SWG способны останавливать только самые базовые атаки. Для полного выявления всех атак требовалась бы полная эмуляция каждого открытого окна браузера, чтобы шлюз был осведомлен о контексте приложения, что практически невозможно.

Хотя Рамачандран и не стал называть конкретных производителей, чтобы не создавать негативного фона, эксперт настоятельно рекомендует ИБ-специалистам и руководителям компаний осознать, что те системы, на которые они полагаются для защиты веб-активности пользователей, могут не справляться со своей задачей.

Рамачандран также подозревает, что (представлены на Def Con) уже активно используются в реальных условиях. В связи с этим SquareX выпустила для проверки уязвимости существующих настроек SWG.

Для защиты от подобных атак компании должны сосредоточиться на защите на конечных устройствах. Именно в браузере и происходят атаки, и только здесь их можно обнаружить. Однако многие клиенты SWG могут не иметь достаточной защиты на конечных устройствах, так как полагаются на заявления поставщиков о том, что облачные решения способны полностью защитить от вредоносного ПО. Атаки с использованием «сборки на последнем этапе» становятся веским аргументом в пользу необходимости пересмотра подходов к защите конечных точек.








 
  • Теги
    swg
  • Сверху Снизу