Una vulnerabilità identificata come CVE-2022-3656 e recentemente rivelata, colpendo oltre 2,5 miliardi di utenti di Google Chrome e dei browser basati su Chromium (Opera e Edge inclusi), avrebbe consentito il furto di file sensibili, come wallet crittografici e credenziali per servizi cloud. In un recente rapporto, i ricercatori di sicurezza informatica dell’Imperva Red Team hanno condiviso i dettagli del difetto ribattezzato SymStealer.
La vulnerabilità SymStealer
I ricercatori avrebbero scoperto la vulnerabilità durante una revisione dei modi in cui i browser (basati su Chromium) interagiscono con il file system, in particolare quando elaborano i cosiddetti “symlinks” (collegamenti simbolici).
“Il symlink, noto anche come collegamento simbolico, è un tipo di file che punta a un altro file o directory. Consente al sistema operativo di trattare il file o la directory collegati come se si trovassero nella posizione del collegamento simbolico. Questo può essere utile per creare shortcuts, reindirizzare i percorsi dei file o organizzare i file in modo più flessibile.“, commenta Ron Maas di Imperva Red Team.
Purtroppo se i symlinks non vengono gestiti correttamente possono introdurre vulnerabilità come nel caso di specie. Il problema anche noto come “symbolic link following” sarebbe legato al modo in cui i browser basati su Chromium vulnerabili interagivano con i collegamenti simbolici durante l’elaborazione di file e directory, non controllando di fatto se tali posizioni avevano restrizioni di accessibilità e consentendo anche un eventuale furto di file sensibili.
Lo scenario d’attacco simulato
I ricercatori di Imperva hanno ideato un proof-of-concept per creare uno scenario realistico in cui un utente malintenzionato potrebbe indurre un utente a visitare un sito Web dannoso e quindi rubare dati riservati tramite symlink sfruttando la vulnerabilità in Google Chrome.
“Molti wallet crittografici e altri servizi online richiedono agli utenti di scaricare chiavi di “recupero” per accedere ai propri account. Queste chiavi fungono da backup nel caso in cui l’utente perda l’accesso al proprio account per qualsiasi motivo, ad esempio dimenticando la password. È normale che gli utenti scarichino queste chiavi e poi le carichino nuovamente sul sito Web per verificare la loro proprietà dell’account” si legge sul blog.
Pertanto l’attaccante potrebbe trarre vantaggio da questa pratica comune fornendo alla vittima un file zip contenente un collegamento simbolico anziché le chiavi di ripristino effettive e aspettando che l’utente decomprima e carichi il file elaborando il symlink malevolo, per ottenere illecitamente l’accesso alle informazioni private prese di mira sul dispositivo dell’utente.
Soluzioni di mitigazione
Il team di Imperva ha rilevato a Google in modo responsabile la vulnerabilità che è stata completamente risolta a partire dalla versione 108 di Google Chrome.
Nel rimarcare che è “Importante mantenere sempre aggiornato il software per proteggersi dalle vulnerabilità più recenti e garantire che le informazioni personali e finanziarie rimangano al sicuro” Imperva consiglia inoltre di:
- evitare di scaricare file o fare clic su collegamenti da fonti non attendibili;
- utilizzare wallet hardware per archiviare criptovalute;
- utilizzare un password manager per generare password complesse e univoche per i propri account;
- abilitare l’autenticazione a due fattori quando possibile.
