Of het nu gaat om adblockers, password managers, vertaal-apps of weersvoorspellers: browser extensies maken ons internetgebruik sneller en productiever. Maar juist doordat deze extensies diep in de browser geïntegreerd worden, vormen ze een onderschatte aanvalsvector binnen het cybersecurity landschap. In onze vorige blog vertelden we je waarom je vandaag nog zou moeten stoppen met het opslaan van wachtwoorden in browsers. In deze editie leggen we uit welke risico’s er kleven aan het gemak van browser extensies.
Waarom zijn extensies zo risicovol?
Een extensie kan toegang vragen tot alles wat zich in de browser afspeelt, zoals HTTP(S) verkeer, cookies en sessietokens. Zodra deze toegang verleend wordt, kan zo’n extensie in principe meelezen met alles wat je doet of data kopiëren zonder dat je dit zelf doorhebt.
Ook zijn er hackers die slim gebruik maken van social engineering, door extensies aantrekkelijk te verpakken. Denk daarbij aan handige PDF tools, een gratis spelletje of een ‘must have’ productiviteitsapp. Gebruikers klikken al snel op installeren zonder kritisch naar de herkomst of de gevraagde rechten te kijken. Gelukkig zijn er een aantal eenvoudige stappen die je kunt nemen om dit te voorkomen. Hierover vertellen we verderop in deze blog meer.
Daarnaast is een veelvoorkomende aanvalstechniek de overname van bestaande, vertrouwde extensies. Ontwikkelaars verkopen hun extensie, waarna de nieuwe eigenaar via een update een schadelijke code toevoegt. Of, wat nog vaker voorkomt, de ontwikkelaar wordt gehackt, waarna een kwaadaardige update van de extensie wordt uitgevoerd met het buitgemaakte account. Omdat de extensie al veel gebruikers en positieve reviews heeft, wordt dit zelden direct opgemerkt. Dit is een goed voorbeeld van een supply chain attack, aangezien alle third party software die je gebruikt onderdeel uitmaakt van je supply chain (wat dus verder gaat dan enkel directe leveranciers).
Ook extensies die niet direct een kwaadaardige insteek hebben, verzamelen vaak metadata over je surfgedrag en verkopen dit aan derde partijen. Dus wat de bedoeling van een extensie ook is, de impact op je privacy en veiligheid kan aanzienlijk zijn.
Browser extensies zijn lastig te monitoren
Extensies zijn niet alleen riskant voor eindgebruikers maar vormen ook een diagnostische uitdaging voor SOC teams. Hieronder geven we een aantal redenen waarom dit zo is.
- Veel extensie activiteiten vinden plaats binnen de browsercontext, waardoor met traditionele endpoint beveiliging weinig bruikbare signalen opgepikt worden.
- Extensies vertonen vaak legitiem ogend gedrag waarmee kwaadaardig gedrag gemakkelijk gecamoufleerd wordt.
- Browsers tonen vaak toestemming of permissievraagstukken aan gebruikers, en zodra deze toestemming geven, is het gedrag technisch gezien geautoriseerd.
- Een extensie die lange tijd onschuldig leek kan na een update ineens van kwaadwillende code voorzien zijn, wat – ook bij whitelisten op extensie ID’s – niet altijd tijdig opgemerkt wordt.
Om terug te komen op onze vorige blog over browser dumping, willen we in deze blog de link tussen beide aanvalstechnieken benadrukken. Bij browser dumping wordt data zoals cookies, adressen, credentials of betaalinformatie, die in de browser is opgeslagen, geëxfiltreerd en misbruikt of doorverkocht. Extensies met de juiste permissies kunnen dit helpen mogelijk te maken. Denk daarbij aan het uitlezen van cookies en tokens, het implementeren van keylogging functionaliteiten of het manipuleren van netwerkverkeer.
Simpel gezegd: je denkt een onschuldige extensie te installeren, die in werkelijkheid ongemerkt tussen je live browserverkeer gaat zitten en alle ingevulde gegevens filtreert.
Best practices
Gelukkig zijn er maatregelen die je kunt treffen, waarmee je de risico’s van extensiegebruik kunt verkleinen.
Deze maatregelen komen eigenlijk op het volgende neer: behandel extensies hetzelfde als applicaties. Oftewel: manage ze goed. Bepaal welke je extensies toegestaan worden binnen de organisatie en verbied de rest door middel van bijvoorbeeld Microsoft Intune. Op deze manier kunnen er geen onbekende extensies meer geïnstalleerd worden en weet je precies welke extensies je binnen de organisatie hebt draaien.
We zetten de best practices nog even voor je op een rijtje:
- Wees terughoudend in het installeren van extensies en overweeg dit alleen wanneer het écht nodig is.
- Kijk kritisch naar de permissies waar een extensie om vraagt.
- Schoon regelmatig je browser op en verwijder extensies die je niet gebruikt.
- Train je medewerkers om voorzichtig om te gaan met extensies, dit zou een belangrijk onderdeel moeten zijn van elke Security Awareness training.
- Bepaal via group of browser policies welke extensies toegestaan zijn binnen de organisatie.
- Voer updates gelijk uit en let daarbij goed op veranderingen in rechten of gedrag van extensies na een update.
Het belangrijkste advies wat we je kunnen geven, is om je IT-omgeving te laten monitoren door een SOC. Want ook al zijn kwaadaardige browser extensies lastig te monitoren, er zijn een aantal concrete stappen die een SOC kan nemen om de kans op vroegtijdige detectie te vergroten. Wanneer je het gebruik van extensies organisatie-breed inregelt en je IT-omgeving laat monitoren door ons SOC, weten we precies welke acties er nodig zijn om schade door kwaadaardige extensies te voorkomen.
Wil je meer over weten over dit onderwerp, of ben je benieuwd wat ons SOC voor jou kan betekenen? laat het ons dan weten via onderstaand formulier.
© 2023 Masero 
