Νέα επίθεση C4 παρακάμπτει την κρυπτογράφηση cookie AppBound
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα επίθεση C4 παρακάμπτει την κρυπτογράφηση cookie AppBound
https://www.secnews.gr/652618/nea-epithesi-c4-parakamptei-kriptografisi-cookie-appbound/
Jul 1st 2025, 16:21
by Absenta Mia
Μια κρίσιμη επίθεση (C4) επιτρέπει σε επιτιθέμενους με χαμηλά προνόμια να παρακάμψουν την κρυπτογράφηση AppBound Cookie του Chrome — μια λειτουργία ασφαλείας που εισήγαγε η Google τον Ιούλιο του 2024 για την προστασία των cookies των χρηστών από κακόβουλο λογισμικό τύπου infostealer.
Δείτε επίσης: Κυβερνοεπιθέσεις σε αεροπορικές εταιρείες: Αυξημένος κίνδυνος για αερομεταφορές
Η επίθεση, με την ονομασία C4 (Chrome Cookie Cipher Cracker), εκμεταλλεύεται μια επίθεση τύπου Padding Oracle στο σύστημα κρυπτογράφησης Windows Data Protection API (DPAPI). Η επίθεση C4 στοχεύει ειδικά τη λειτουργία AppBound Encryption του Chrome, η οποία έχει σχεδιαστεί για να προστατεύει τα cookies μέσω ενός διπλού επιπέδου κρυπτογράφησης DPAPI: αρχικά με User-DPAPI και στη συνέχεια με SYSTEM-DPAPI, περιορίζοντας θεωρητικά την πρόσβαση μόνο σε διεργασίες επιπέδου SYSTEM.
Σύμφωνα με την CyberArk, η υπηρεσία ανύψωσης προνομίων —ένας COM server που εκτελείται με δικαιώματα SYSTEM και διαχειρίζεται αιτήματα αποκρυπτογράφησης cookies— δημιουργεί άθελά της μια ευπάθεια τύπου padding oracle. Η επίθεση εκμεταλλεύεται τον αλγόριθμο AES σε λειτουργία CBC σε συνδυασμό με padding τύπου PKCS7, που χρησιμοποιείται από το DPAPI.
Όταν η υπηρεσία ανύψωσης προνομίων (elevation service) προσπαθεί να αποκρυπτογραφήσει παραποιημένο κρυπτοκείμενο, παράγει διαφορετικά μηνύματα σφάλματος στον Windows Event Viewer, ανάλογα με την εγκυρότητα του padding — εμφανίζει "unknown" για μη έγκυρο padding και "MAC check failed" όταν το padding είναι έγκυρο αλλά η υπογραφή είναι λανθασμένη.
Δείτε ακόμα: Η Hawaiian Airlines υπέστη κυβερνοεπίθεση – Οι πτήσεις συνεχίζονται
Αυτή η διαφοροποίηση στις απαντήσεις δημιουργεί ένα padding oracle, το οποίο μπορούν να εκμεταλλευτούν οι επιτιθέμενοι μέσω επαναλαμβανόμενων αιτημάτων. Με συστηματική τροποποίηση των μπλοκ του κρυπτοκειμένου και ανάλυση των μηνυμάτων σφάλματος, η επίθεση C4 μπορεί να αποκρυπτογραφήσει το εξωτερικό επίπεδο SYSTEM-DPAPI, αποκαλύπτοντας το εσωτερικό blob του User-DPAPI, το οποίο οι διεργασίες με χαμηλά προνόμια μπορούν στη συνέχεια να αποκρυπτογραφήσουν χρησιμοποιώντας τις κανονικές κλήσεις CryptUnprotectData.
Η επίθεση τύπου padding oracle απαιτεί περίπου 16 ώρες για να ολοκληρωθεί, πραγματοποιώντας χιλιάδες αιτήματα διαδιεργασιακής επικοινωνίας (IPC) προς την υπηρεσία ανύψωσης προνομίων, ενώ ταυτόχρονα παρακολουθεί τα Windows Event Logs για ενδείξεις σχετικά με την εγκυρότητα του padding.
Κάθε δοκιμή περιλαμβάνει λειτουργίες ανάγνωσης/εγγραφής αρχείων και πολλαπλές ανταλλαγές IPC, γεγονός που συμβάλλει στη μεγάλη διάρκεια της επίθεσης.
Η τεχνική εκμεταλλεύεται την ευπάθεια bit-flipping της λειτουργίας CBC, όπου η τροποποίηση του μπλοκ κρυπτοκειμένου Cₙ επηρεάζει προβλέψιμα το μπλοκ απλού κειμένου Pₙ₊₁ μέσω πράξεων XOR.
Δείτε επίσης: Η WestJet ερευνά πρόσφατη κυβερνοεπίθεση
Το γεγονός ότι η επίθεση απαιτεί περίπου 16 ώρες δεν μειώνει τη σοβαρότητά της – αντιθέτως, αποδεικνύει πως ακόμα και αργές, επίμονες τεχνικές μπορούν να οδηγήσουν σε πλήρη παράκαμψη κρίσιμων μηχανισμών ασφαλείας, ειδικά όταν δεν υπάρχουν επαρκή μέτρα αποτροπής (όπως rate-limiting ή θολωμένα μηνύματα σφαλμάτων).
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα επίθεση C4 παρακάμπτει την κρυπτογράφηση cookie AppBound
https://www.secnews.gr/652618/nea-epithesi-c4-parakamptei-kriptografisi-cookie-appbound/
Jul 1st 2025, 16:21
by Absenta Mia
Μια κρίσιμη επίθεση (C4) επιτρέπει σε επιτιθέμενους με χαμηλά προνόμια να παρακάμψουν την κρυπτογράφηση AppBound Cookie του Chrome — μια λειτουργία ασφαλείας που εισήγαγε η Google τον Ιούλιο του 2024 για την προστασία των cookies των χρηστών από κακόβουλο λογισμικό τύπου infostealer.
Δείτε επίσης: Κυβερνοεπιθέσεις σε αεροπορικές εταιρείες: Αυξημένος κίνδυνος για αερομεταφορές
Η επίθεση, με την ονομασία C4 (Chrome Cookie Cipher Cracker), εκμεταλλεύεται μια επίθεση τύπου Padding Oracle στο σύστημα κρυπτογράφησης Windows Data Protection API (DPAPI). Η επίθεση C4 στοχεύει ειδικά τη λειτουργία AppBound Encryption του Chrome, η οποία έχει σχεδιαστεί για να προστατεύει τα cookies μέσω ενός διπλού επιπέδου κρυπτογράφησης DPAPI: αρχικά με User-DPAPI και στη συνέχεια με SYSTEM-DPAPI, περιορίζοντας θεωρητικά την πρόσβαση μόνο σε διεργασίες επιπέδου SYSTEM.
Σύμφωνα με την CyberArk, η υπηρεσία ανύψωσης προνομίων —ένας COM server που εκτελείται με δικαιώματα SYSTEM και διαχειρίζεται αιτήματα αποκρυπτογράφησης cookies— δημιουργεί άθελά της μια ευπάθεια τύπου padding oracle. Η επίθεση εκμεταλλεύεται τον αλγόριθμο AES σε λειτουργία CBC σε συνδυασμό με padding τύπου PKCS7, που χρησιμοποιείται από το DPAPI.
Όταν η υπηρεσία ανύψωσης προνομίων (elevation service) προσπαθεί να αποκρυπτογραφήσει παραποιημένο κρυπτοκείμενο, παράγει διαφορετικά μηνύματα σφάλματος στον Windows Event Viewer, ανάλογα με την εγκυρότητα του padding — εμφανίζει "unknown" για μη έγκυρο padding και "MAC check failed" όταν το padding είναι έγκυρο αλλά η υπογραφή είναι λανθασμένη.
Δείτε ακόμα: Η Hawaiian Airlines υπέστη κυβερνοεπίθεση – Οι πτήσεις συνεχίζονται
Αυτή η διαφοροποίηση στις απαντήσεις δημιουργεί ένα padding oracle, το οποίο μπορούν να εκμεταλλευτούν οι επιτιθέμενοι μέσω επαναλαμβανόμενων αιτημάτων. Με συστηματική τροποποίηση των μπλοκ του κρυπτοκειμένου και ανάλυση των μηνυμάτων σφάλματος, η επίθεση C4 μπορεί να αποκρυπτογραφήσει το εξωτερικό επίπεδο SYSTEM-DPAPI, αποκαλύπτοντας το εσωτερικό blob του User-DPAPI, το οποίο οι διεργασίες με χαμηλά προνόμια μπορούν στη συνέχεια να αποκρυπτογραφήσουν χρησιμοποιώντας τις κανονικές κλήσεις CryptUnprotectData.
Η επίθεση τύπου padding oracle απαιτεί περίπου 16 ώρες για να ολοκληρωθεί, πραγματοποιώντας χιλιάδες αιτήματα διαδιεργασιακής επικοινωνίας (IPC) προς την υπηρεσία ανύψωσης προνομίων, ενώ ταυτόχρονα παρακολουθεί τα Windows Event Logs για ενδείξεις σχετικά με την εγκυρότητα του padding.
Κάθε δοκιμή περιλαμβάνει λειτουργίες ανάγνωσης/εγγραφής αρχείων και πολλαπλές ανταλλαγές IPC, γεγονός που συμβάλλει στη μεγάλη διάρκεια της επίθεσης.
Η τεχνική εκμεταλλεύεται την ευπάθεια bit-flipping της λειτουργίας CBC, όπου η τροποποίηση του μπλοκ κρυπτοκειμένου Cₙ επηρεάζει προβλέψιμα το μπλοκ απλού κειμένου Pₙ₊₁ μέσω πράξεων XOR.
Δείτε επίσης: Η WestJet ερευνά πρόσφατη κυβερνοεπίθεση
Το γεγονός ότι η επίθεση απαιτεί περίπου 16 ώρες δεν μειώνει τη σοβαρότητά της – αντιθέτως, αποδεικνύει πως ακόμα και αργές, επίμονες τεχνικές μπορούν να οδηγήσουν σε πλήρη παράκαμψη κρίσιμων μηχανισμών ασφαλείας, ειδικά όταν δεν υπάρχουν επαρκή μέτρα αποτροπής (όπως rate-limiting ή θολωμένα μηνύματα σφαλμάτων).
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz