Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rozszerzenia przeglądarkowe od lat pozostają atrakcyjnym wektorem ataku, choć zwykle ich działanie ogranicza mechanizm sandboxingu. Najnowszy opisany przypadek pokazuje jednak, że połączenie złośliwego rozszerzenia Microsoft Edge z mechanizmem Native Messaging może skutecznie przenieść wykonanie poleceń poza przeglądarkę i umożliwić uruchomienie komponentu działającego bezpośrednio na hoście.
W praktyce oznacza to, że pozornie zwykły dodatek do przeglądarki może stać się elementem pełnego łańcucha infekcji. To szczególnie niebezpieczne w środowiskach firmowych, gdzie przeglądarka jest jednym z podstawowych narzędzi pracy i jednocześnie istotnym składnikiem powierzchni ataku.
W skrócie
Badacze opisali kampanię wykorzystującą złośliwe rozszerzenie Edge o nazwie Edgecution. Atak rozpoczynał się od socjotechniki podszywającej się pod wsparcie IT i nakłaniania ofiar do pobrania rzekomej aktualizacji.
- Ofiara otrzymywała fałszywą instrukcję aktualizacji lub weryfikacji oprogramowania.
- Dostarczony pakiet zawierał rozszerzenie przeglądarki, osadzony interpreter Python oraz komponent natywny.
- Mechanizm Native Messaging łączył rozszerzenie z lokalnym procesem systemowym.
- Napastnicy zyskiwali możliwość wykonywania poleceń, uruchamiania PowerShell, zapisu plików i zbierania informacji o systemie.
Taki model pozwala ominąć ograniczenia sandboxa przeglądarki i otwiera drogę do dalszych etapów ataku, w tym działań związanych z ransomware.
Kontekst / historia
Opisana kampania wpisuje się w rosnący trend łączenia socjotechniki, fałszywych aktualizacji oraz narzędzi typu living-off-the-land z komponentami przeglądarkowymi. Napastnicy podszywali się pod pracowników wsparcia IT w Microsoft Teams, a następnie kierowali użytkowników na stronę udającą konsolę zarządzania aktualizacjami Microsoft Outlook.
Fałszywa witryna prezentowała przyciski pobierania rzekomych pakietów aktualizacji lub weryfikacji oprogramowania. W rzeczywistości uruchamiały one złośliwe skrypty, kopiowały komendy do schowka albo służyły do wyłudzania poświadczeń Microsoft 365 i Outlook.
Badacze powiązali tę aktywność z brokerem początkowego dostępu funkcjonującym w ekosystemie ransomware. To ważny sygnał dla organizacji, ponieważ podobne grupy często nie kończą ataku samodzielnie, lecz sprzedają uzyskany dostęp kolejnym podmiotom specjalizującym się w eskalacji uprawnień, ruchu bocznym i szyfrowaniu zasobów.
Analiza techniczna
Technicznie kampania została zbudowana jako wieloetapowy łańcuch wykonania. W pierwszej fazie wykorzystywano skrypty AutoHotKey, batch lub PowerShell do przygotowania środowiska, naprawy nagłówków zaszyfrowanego archiwum ZIP, wypakowania plików oraz utworzenia zaplanowanego zadania uruchamiającego Microsoft Edge.
Celowe uszkodzenie nagłówków archiwum miało utrudnić analizę i detekcję przez narzędzia bezpieczeństwa opierające się na prostym rozpoznawaniu formatów plików. Po rozpakowaniu na system trafiał zestaw komponentów obejmujący osadzoną wersję Pythona, katalog rozszerzenia oraz katalog natywny.
Rozszerzenie podszywało się pod legalny komponent monitorujący i działało w tle w instancji Edge uruchamianej w trybie headless. Dzięki temu pozostawało niewidoczne dla użytkownika, a jednocześnie mogło komunikować się z serwerem C2, odbierać polecenia i odsyłać wyniki wykonania.
Kluczowy element przełamania izolacji opierał się na Native Messaging, czyli legalnym mechanizmie dostępnym w przeglądarkach opartych na Chromium. Funkcja ta umożliwia rozszerzeniu wymianę komunikatów z lokalną aplikacją natywną uruchamianą jako osobny proces systemowy. Konfiguracja połączenia definiowana jest w manifeście hosta, a komunikacja przebiega przez standardowe strumienie wejścia i wyjścia.
W analizowanym przypadku skrypty przygotowywały wymagany manifest Native Messaging oraz plik wsadowy, który rozszerzenie mogło wywołać jako pomost do lokalnego backdoora. Drugi etap stanowił natywny backdoor napisany w Pythonie, realizujący działania już bezpośrednio na poziomie hosta.
Z opisu kampanii wynika, że komponent natywny mógł:
- wykonywać polecenia powłoki,
- uruchamiać PowerShell,
- wykonywać dowolny kod Python,
- zapisywać pliki,
- enumerować procesy,
- zbierać informacje o systemie.
W tym modelu rozszerzenie Edge pełniło rolę kanału sterowania i komunikacji, natomiast rzeczywiste operacje systemowe wykonywał lokalny komponent. To podejście zwiększa elastyczność ataku i utrudnia detekcję, ponieważ aktywność rozkłada się między procesy przeglądarki i procesy hosta.
Warto podkreślić, że Native Messaging sam w sobie nie jest podatnością. To legalny mechanizm integracyjny używany między innymi przez menedżery haseł i aplikacje desktopowe. Zagrożenie pojawia się dopiero wtedy, gdy napastnik zdoła dostarczyć własny manifest hosta, uruchomić własny proces natywny i skłonić użytkownika do instalacji złośliwego rozszerzenia.
Konsekwencje / ryzyko
Z perspektywy obrony incydent ma duże znaczenie, ponieważ podważa powszechne założenie, że rozszerzenie przeglądarki jest ograniczone wyłącznie do danych i funkcji dostępnych w obrębie samej przeglądarki. W tym przypadku dodatek stał się interfejsem sterowania dla pełnoprawnego malware działającego na systemie operacyjnym.
Atak umożliwia także uzyskanie trwałości dzięki zadaniom harmonogramu i elementom konfiguracji hosta Native Messaging. Połączenie z kanałem C2 oraz natywnym backdoorem tworzy elastyczny punkt wejścia do kolejnych działań, takich jak kradzież danych, wdrożenie narzędzi post-exploitation czy przygotowanie środowiska pod ransomware.
Ryzyko jest szczególnie wysokie w organizacjach, gdzie użytkownicy mogą samodzielnie instalować rozszerzenia, uruchamiać skrypty ze schowka, pobierać aktualizacje spoza zatwierdzonych kanałów i korzystać z komunikatorów bez odpowiednich zabezpieczeń antyphishingowych. Dodatkowym problemem pozostaje ograniczona widoczność ataku, zwłaszcza gdy przeglądarka działa w trybie headless, a złośliwy ładunek korzysta z osadzonego interpretera.
Rekomendacje
Organizacje powinny ograniczyć możliwość instalacji rozszerzeń przeglądarkowych do listy zatwierdzonych dodatków i egzekwować polityki allowlisty dla Edge oraz innych przeglądarek opartych na Chromium. Równie istotne jest monitorowanie tworzenia i modyfikacji manifestów Native Messaging, wpisów rejestru związanych z hostami natywnymi oraz nietypowych uruchomień przeglądarek w trybie headless.
W warstwie ochrony endpointów warto wdrożyć reguły wykrywające nietypowe łańcuchy procesów obejmujące Microsoft Teams, przeglądarkę, AutoHotKey, cmd.exe, PowerShell, python.exe oraz harmonogram zadań. Szczególnej uwagi wymagają archiwa o uszkodzonych lub niestandardowych nagłówkach, kopiowanie komend do schowka jako element instrukcji phishingowych oraz pobieranie aktualizacji z nieautoryzowanych stron.
- Wdrażaj listy dozwolonych rozszerzeń i blokuj niezatwierdzone dodatki.
- Monitoruj manifesty Native Messaging i powiązane wpisy rejestru.
- Wykrywaj uruchomienia Edge w trybie headless oraz nietypowe zadania harmonogramu.
- Wzmacniaj ochronę poświadczeń Microsoft 365 i stosuj MFA odporne na phishing.
- Blokuj uruchamianie niezatwierdzonych interpreterów i skryptów.
- Centralizuj telemetrykę z przeglądarek, EDR i systemów proxy.
Zespoły SOC powinny rozszerzyć działania huntingowe o wskaźniki kompromitacji związane ze złośliwym rozszerzeniem, hostami C2, plikami manifestów Native Messaging, zadaniami harmonogramu uruchamiającymi Edge oraz katalogami zawierającymi osadzoną dystrybucję Pythona. W środowiskach o podwyższonym ryzyku uzasadnione jest także okresowe audytowanie wszystkich zainstalowanych rozszerzeń i mapowanie powiązanych z nimi aplikacji natywnych.
Podsumowanie
Opisany przypadek pokazuje, że bezpieczeństwa przeglądarki nie można oceniać wyłącznie przez pryzmat sandboxa i reputacji dodatków. Gdy napastnicy połączą socjotechnikę z mechanizmem Native Messaging, rozszerzenie może stać się jedynie warstwą sterowania dla złośliwego komponentu działającego już bezpośrednio na hoście.
Dla obrońców oznacza to konieczność szerszego spojrzenia na telemetrykę przeglądarkową, konfigurację hostów natywnych oraz korelację między aktywnością użytkownika, skryptami systemowymi i procesami uruchamianymi w tle. To kolejny dowód na to, że przeglądarka jest dziś pełnoprawnym elementem powierzchni ataku przedsiębiorstwa.