浏览器漏洞利用式微,用户成为攻击新焦点

随着浏览器安全性的提升,攻击者转向利用用户行为进行攻击。文章分析了浏览器漏洞利用减少的趋势,探讨了社会工程学攻击、恶意扩展和OAuth框架滥用等新兴威胁,并提出了企业级浏览器和扩展解决方案的防护策略。

浏览器漏洞利用式微,用户成为攻击新焦点

对浏览器而言,直接利用漏洞进行攻击的方式正在过时——而诱使用户自行破坏其系统的手段正成为新趋势。改进的浏览器安全性迫使攻击者调整策略,并且他们已经接受了这一挑战。

浏览器漏洞仍存,但直接攻击减少

浏览器漏洞继续困扰着企业安全。五月,微软修补了一个浏览器漏洞,该漏洞可能允许攻击者强制Edge用户进入Internet Explorer兼容模式,从而降低安全保护。一年前,谷歌修补了其Chrome浏览器中的三个漏洞——两个可能导致沙箱逃逸,一个可能允许代码执行。

然而,尽管浏览器漏洞持续零星出现,直接攻击浏览器的情况正在减少,专家表示。根据国家漏洞数据库的数据,自2017年以来,浏览器漏洞约占所有报告漏洞的2%,但攻击变得更加困难。几乎所有的浏览器利用都需要一个利用链——针对一系列漏洞的一系列攻击——而不是单个利用就能破坏整个浏览器。

云安全公司Netskope的威胁实验室主管Ray Canzanese表示:“我们已经远远超越了利用工具包的黄金时代。浏览器已经改进很多。它们更加坚固。沙箱更好。补丁更好。Adobe Flash Player不再是许多利用工具包可以攻击的目标。所以总的来说,不,不再是利用漏洞了。”

攻击者转向用户作为初始访问点

相反,攻击者正在使用浏览器作为攻击链的初始访问点,专注于终端用户。根据网络安全公司eSentire的威胁响应单元2025年1月发布的数据分析,2024年,70%的攻击通过浏览器下载在用户系统上获得立足点,高于2023年的58%。结合社会工程学和基于浏览器向量的攻击——如ClickFix——正在上升。

许多经典攻击,如网络钓鱼和恶意广告,继续构成威胁——尤其是随着AI聊天机器人使创建诱饵的成本大大降低——但攻击者正在转向以非预期方式使用合法的浏览器功能,专家表示。特别是浏览器扩展,是一个重要的弱点,因为如果攻击者能让员工运行受感染的扩展,欺骗扩展开发者允许修改,或者只是收购一个流行扩展的项目,他们就有办法绕过浏览器安全。

颠覆浏览器用于攻击

持续关注浏览器并不令人惊讶。在进行基于浏览器的攻击时,攻击者优先窃取凭据以访问云服务或横向移动,深入网络。窃取关键数据和各种令牌或凭据是首要目标,而最终的有效负载可能是勒索软件或其他类型的恶意软件,目的是破坏运营并勒索赎金,Menlo Security的网络安全策略高级经理Neko Papez表示。

“攻击者针对浏览器,因为它们是员工在线所做几乎所有事情的网关,”他说。“浏览器天生被用户信任,使它们成为攻击者利用这种信任并在企业中获得立足点的主要目标。”

虽然利用仍占4%,但依赖浏览器的攻击份额激增。来源:eSentire

对网络安全公司Cyberhaven的攻击正是这样做的。一个来自谷歌的虚假通知针对Cyberhaven的开发者,说服一名员工授予看似合法应用程序的访问权限。该攻击利用了Google Chrome商店对OAuth框架的依赖,将恶意修改上传到受信任的扩展。

其他更先进的攻击也可能即将到来。浏览器安全公司SquareX设计了方法,称为“最后一英里重组”攻击,以绕过安全Web网关。该公司还找到了使用浏览器加密下载和其他文件的方法,称为“浏览器原生勒索软件”,SquareX的创始人兼CEO Vivek Ramachandran表示。

这是一种“在浏览器中生死的攻击,”他说。“它不需要任何本地文件或进程,允许它完全绕过现有的反勒索软件和EDR[终端检测和响应]解决方案。”

针对特定 worker 角色

虽然高流量的浏览器攻击继续专注于消费者,但针对工人或特定组织的商业攻击本质上是低流量的,但阻止它们至关重要,Netskope的Canzanese表示。使用商业导向诱饵或恶意广告的电子邮件,以及专注于商业导向信息和搜索词的SEO投毒越来越常见,他说。

“通过这些有针对性的搜索词在SEO投毒中,你可以非常具体,所以我们看到一些搜索词明显不是消费者主题,这绝对意味着它们针对商业用户,”他说。“我们看到针对特定、非常昂贵的硬件的 manuals,没有消费者会使用作为诱饵。所以这是一种混合,就像电子邮件[攻击]是一种混合一样。”

此外,攻击者专注于特定角色:高管、财务组和开发者,SquareX的Ramachandran表示。

“许多这些攻击针对所有员工;然而,我们确实看到一些攻击针对有权访问更多公司资源的特权用户,[如]安全[和]IT团队、高管、政府官员,以及在Cyberhaven攻击的情况下,技术公司的开发者,他们有权完全访问公司的代码库,”他说,并补充说“现在破坏一名员工不仅允许访问他们的数据,还允许访问与他们共享的任何其他公司资源。”

浏览器攻击的增加也受到另一个因素的推动:远程工作的增加,员工和第三方通常从不安全的家庭网络和个人设备工作,Menlo Security的Papez表示。

“这种向传统企业边界外的转移给攻击者更多机会利用浏览器漏洞和用户行为,增加网络钓鱼、恶意软件和数据泄露的风险,”他说。

超越云防御

基于云的方法,如安全Web网关(SWGs)和云访问安全代理(CASBs)可以过滤已知威胁、风险域和可疑代码,但它们可能错过复杂的基于浏览器的攻击,Papez表示。客户端网络安全解决方案,如EDR,可以帮助检测可疑活动,但只有在攻击者已经在网络内部获得一些访问之后。

另一方面,最严格的防御——远程浏览器隔离(RBI)——带来用户体验和可扩展性挑战,他说。

“企业需要从头设计用于安全的解决方案,功能直接嵌入浏览器以保护用户,特别是那些远程工作的用户,”他说。

企业浏览器已成为一种流行的解决方案,但它们可能有一些与RBI相同的可扩展性问题。基于浏览器扩展的解决方案试图增加安全性和遥测,同时消除自定义浏览器的必要性。在这两种情况下,组织都获得关于浏览器使用情况的信息和实例化安全控制的能力,Ramachandran表示。

“基于扩展的解决方案越来越受欢迎,因为它们与所有浏览器和设备兼容,提供与企业浏览器相同的浏览器安全功能,而没有部署开销,”他说。

公司应继续跟踪攻击者的策略,这些策略继续适应。Canzanese看到攻击者专注于非法授权,针对OAuth工作流和捕获多因素认证令牌的反向代理,而较少关注简单的虚假登录站点。向ClickFix和其他切换浏览器或说服用户完成攻击链的攻击的转变需要良好的可见性来阻止。

“你加固一件事,攻击者只是去找下一个最弱的环节,”Canzanese说。“如果你的员工在非托管设备上,你唯一的控制是企业浏览器,让受害者离开浏览器将非常有效,因为你将处于一个安全控制少得多的环境中。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次