Уязвимость SymStealer поставила под удар каждого пользователя Google Chrome

Команда Imperva Red в конце прошлого года обнаружила в популярном браузере Google Chrome уязвимость, которая отслеживается под идентификатором CVE-2022-3656 . На момент, когда уязвимость была активна, она затрагивала свыше 2,5 миллиардов пользователей Chrome и позволяла злоумышленникам украсть конфиденциальные файлы, такие как криптокошельки и учётные данные облачного провайдера.

Уязвимость была обнаружена в ходе проверки способов взаимодействия браузера с файловой системой, в частности поиска общих уязвимостей, связанных с тем, как браузеры обрабатывают символические ссылки. Символические ссылки (symlink) представляют собой тип файла, который указывает на другой файл или каталог, что позволяет операционной системе обрабатывать связанный файл или каталог, как если бы он находился в расположении символической ссылки. Это может быть полезно для создания ярлыков, перенаправления путей к файлам или более гибкой организации файлов.

Однако символические ссылки также могут создавать уязвимости, если они не обрабатываются должным образом. В случае уязвимости CVE-2022-3656 браузер неправильно проверял, указывает ли символическая ссылка на место, доступ к которому не предполагается, что позволяло украсть конфиденциальные файлы.

Злоумышленник может создать поддельный веб-сайт, предлагающий, например, услугу криптокошелька. А в процессе создания кошелька попросить скачать на компьютер так называемые «ключи восстановления». Эти ключи на самом деле будут zip-файлом, содержащим символическую ссылку на конфиденциальный файл или папку на компьютере пользователя, например учётные данные облачного провайдера. Когда пользователь разархивирует и загрузит ключи восстановления обратно на веб-сайт, символическая ссылка будет обработана, и злоумышленник получит доступ к нужному конфиденциальному файлу. Пользователь может даже не осознавать, что что-то не так, поскольку веб-сайт может выглядеть вполне законным, а процесс загрузки и выгрузки ключей восстановления — нормальная практика для криптовалютных кошельков.

Google полностью устранила уязвимость символических ссылок в Chrome версии 108. Чтобы защитить свои криптоактивы, важно поддерживать программное обеспечение в актуальном состоянии, избегать загрузки сомнительных файлов или перехода по ссылкам из ненадежных источников.