Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un case study su Microsoft Teams mostra come un'estensione browser possa accedere ai dati di sessione presenti nel localStorage e consentire attacchi di Session Hijacking. L'attaccante può estrarre i token necessari, replicare la sessione della vittima e impersonarne l'identità senza conoscere le credenziali.
In questa analisi, abbiamo voluto comprendere un possibile scenario di utilizzo delle estensioni browser come vettore di attacco per la compromissione delle sessioni utente nelle moderne web application.
In particolare, viene presentato un case study su Microsoft Teams con l’obiettivo di mostrare come dati esposti nel contesto client-side possano portare a session replay. Vengono infine discusse possibili strategie di prevenzione e mitigazione.
Su numerose web application la gestione della sessione non è esclusivamente server-side, ma coinvolge anche il contesto di esecuzione del browser. Nel tempo si è diffuso l’utilizzo di token di autenticazione e di storage client-side. Questo ha portato ad avere maggiore flessibilità architetturale e, in alcuni casi, miglioramenti in termini di prestazioni.
Tale evoluzione introduce tuttavia implicazioni di sicurezza, in particolare quando componenti eseguiti nello stesso contesto del browser hanno accesso a informazioni sensibili memorizzate in meccanismi accessibili al runtime JavaScript della pagina.
In questo scenario, elementi quali script di terze parti ed estensioni browser operano all’interno di un perimetro di fiducia condiviso, in cui la separazione tra codice legittimo dell’applicazione e codice esterno risulta meno netta.
Nel video seguente viene mostrato come una semplice estensione browser installata nel contesto del browser dell’utente possa accedere a dati di sessione memorizzati nel localStorage all’interno della web application di Microsoft Teams.
L’accesso a tali informazioni consente di replicare la sessione della vittima e, pertanto, l’impersonificazione della stessa.
In particolare, l’estensione realizzata, ogniqualvolta l’utente visita una qualsiasi pagina della web application di Microsoft Teams, opera in background iniettando uno script JavaScript che estrae determinate coppie chiave-valore presenti nel localStorage e le invia tramite email all’attaccante (in alternativa può essere utilizzato un endpoint verso cui trasmettere le informazioni).
L’attaccante, una volta ricevuti i dati di sessione, può inserirli nel localStorage della pagina di accesso di Microsoft Teams e replicare la sessione dell’utente, senza che quest’ultimo se ne accorga.
Inoltre, oltre agli scenari di session replay illustrati nel video, esistono potenziali rischi di session overwriting.
Un’obiezione frequente a questo tipo di analisi è che il rischio possa essere eliminato installando estensioni o componenti esclusivamente da fonti ufficiali, e in particolare, da store controllati dai principali browser vendor. Tuttavia, questo assunto non elimina il rischio.
Nel tempo sono stati documentati casi in cui estensioni pubblicate su store ufficiali, pur soggette a processi di revisione preventiva, hanno manifestato comportamenti malevoli. Ciò evidenzia come il modello di fiducia basato esclusivamente sulla provenienza ufficiale non sia sufficiente a garantire l’assenza di codice malevolo.
A supporto di questa considerazione, tale problematica è stata recentemente evidenziata nel caso delle 108 estensioni dannose pubblicate nel Chrome Web Store.
Lato utente, la riduzione della superficie di attacco associata alle estensioni browser richiede una gestione restrittiva dell’ambiente di navigazione e dei componenti installati nel browser. In particolare, è consigliabile verificare periodicamente i permessi richiesti e disattivare le estensioni non essenziali durante l’accesso a servizi sensibili.
Dal punto di vista architetturale, esistono diverse strategie di prevenzione e mitigazione. Tra queste, l’utilizzo di meccanismi di session binding basati su device fingerprinting (con adeguate considerazioni in termini di privacy) può contribuire a mitigare il riuso della sessione cross-device, eventualmente integrati con controlli adattivi in grado di rilevare anomalie rispetto al comportamento atteso dell’utente.
Tuttavia, eventuali approcci di prevenzione devono essere valutati alla luce del consueto trade-off tra sicurezza, prestazioni e user experience, poiché l’introduzione di controlli più stringenti può avere un impatto sulla latenza, sulla complessità computazionale e sulla fruibilità del servizio.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]