When Browsers Become the Attack Surface: Rethinking Security for Scattered Spider

L’Outil de Travail, Nouvelle Surface d’Attaque : Défenses Ciblant les Exploits Navigateur

Les entreprises se tournent de plus en plus vers le navigateur pour leurs opérations, créant ainsi un champ de bataille pour les acteurs malveillants. Plus de 80% des incidents de cybersécurité proviennent désormais des applications web accessibles via des navigateurs tels que Chrome, Edge ou Firefox. Des groupes comme Scattered Spider, également connu sous les noms de UNC3944, Octo Tempest ou Muddled Libra, ont affiné leurs méthodes en deux ans pour cibler spécifiquement les données sensibles présentes dans ces navigateurs. Leur approche se distingue de celle d’autres groupes par une exploitation de précision plutôt que des attaques de masse, capitalisant sur la confiance des utilisateurs dans leurs outils quotidiens.

Points Clés des Méthodes d’Attaque :

• Techniques de Manipulation du Navigateur : Utilisation de superpositions “Browser-in-the-Browser” (BitB) et d’extraction automatique de formulaires pour subtiliser des identifiants, contournant les outils de sécurité traditionnels.
• Vol de Jetons de Session : Contournement de l’authentification multifacteur (MFA) pour s’emparer de jetons et de cookies personnels stockés en mémoire par le navigateur.
• Extensions Malveillantes et Injection de JavaScript : Distribution de charges utiles via de fausses extensions ou par injection de scripts malveillants exécutés directement dans le navigateur.
• Reconnaissance Basée sur le Navigateur : Exploitation des APIs web et analyse des extensions installées pour cartographier les systèmes internes critiques.

Vulnérabilités et Recommandations Stratégiques :

La sécurité du navigateur doit être élevée au rang de pilier de défense. Une stratégie multicouche est nécessaire pour contrer ces menaces :

• Protection du Code d’Exécution JavaScript :
  • Vulnérabilité : Exécution de JavaScript malveillant dans le navigateur pour voler des identifiants, contournant l’EDR.
  • Recommandation : Implémenter une protection JavaScript en temps réel pour analyser le comportement et bloquer les tentatives de vol de données.
• Protection des Sessions pour Prévenir le Détournement de Comptes :
  • Vulnérabilité : Vol de cookies et de jetons pour détourner des sessions déjà authentifiées.
  • Recommandation : Sécuriser l’intégrité des sessions en restreignant l’accès aux scripts non autorisés et en appliquant des politiques de sécurité contextuelles (posture de l’appareil, identité, confiance réseau).
• Gouvernance des Extensions et Blocage des Scripts Rogue :
  • Vulnérabilité : Extensions malveillantes demandant des permissions excessives, injectant des scripts ou servant de vecteurs de livraison.
  • Recommandation : Mettre en place une gouvernance stricte pour n’autoriser que les extensions pré-approuvées avec des permissions validées, et bloquer les scripts non fiables avant leur exécution.
• Perturbation de la Reconnaissance Sans Rompre les Flux Légitimes :
  • Vulnérabilité : Utilisation d’APIs (WebRTC, CORS) et de fingerprinting pour cartographier l’environnement.
  • Recommandation : Désactiver ou remplacer les APIs sensibles par des leurres, tout en appliquant des politiques adaptatives pour ne pas perturber les flux de travail légitimes, notamment sur les appareils BYOD.
• Intégration de la Télémétrie du Navigateur dans la Sécurité :
  • Vulnérabilité : Manque de visibilité globale sur les activités liées au navigateur.
  • Recommandation : Intégrer les journaux d’activité du navigateur enrichis dans les plateformes SIEM, SOAR et ITDR pour une corrélation des événements et une amélioration de la réponse aux incidents.

Les recommandations pour les responsables de la sécurité incluent l’évaluation de la posture de risque, le déploiement de solutions de protection du navigateur en temps réel, la définition de politiques contextuelles, l’intégration avec les outils existants, la formation des équipes, les tests continus, le renforcement de l’authentification, l’audit régulier des extensions, l’application du principe du moindre privilège aux APIs web, et l’automatisation de la chasse aux menaces.

En définitive, le navigateur devient le nouveau périmètre d’identité, et une protection native est essentielle pour faire face aux menaces basées sur l’identité. L’investissement dans des plateformes de sécurité du navigateur sans friction et conscientes de l’exécution permet de passer d’une posture réactive à une posture proactive, renforçant ainsi la sécurité de l’entreprise.

Source