A vulnerabilidade do SymStealer CVE-2022-3656recentemente divulgado pela Imperva Red Team, afeta mais 2.5 bilhão de usuários de navegadores Google Chrome e baseados em Chromium. Os relatórios dizem que arquivos confidenciais, incluindo credenciais de usuário de provedores de nuvem e carteiras criptografadas, podem ter sido roubados devido a essa falha.
O Chrome tem uma participação de mercado de 65,52%, o que o torna o navegador mais popular. Cromoa variante de código aberto do Chrome, é a base de dois recursos adicionais6 navegadores Edge e Opera, aumentando a participação de mercado do Chromium para mais de 70%.
Detalhes da vulnerabilidade do SymStealer
O bug recebeu o nome de SymStealer pelos pesquisadores da Imperva. O problema surge quando um invasor usa o sistema de arquivos para acessar arquivos não autorizados e contornar as limitações do programa.
A análise da Imperva revelou que quando um usuário arrasta e solta uma pasta diretamente em um elemento de entrada de arquivo, o navegador resolve recursivamente todos os links simbólicos sem exibir um aviso.
“Durante nossos testes, descobrimos que quando você solta um arquivo ou pasta em uma entrada de arquivo, o tratamento é diferente. Links simbólicos são processados, resolvidos recursivamente e não há nenhum aviso ou confirmação extra para o usuário” Equipe Vermelha Imperva.
Um tipo de arquivo que aponta para outro arquivo ou diretório é chamado de “link simbólico”, geralmente conhecido como link simbólico. Ao fazer isso, o sistema operacional é capaz de manipular o arquivo ou diretório vinculado como se ele estivesse realmente onde está o link simbólico.
Atalhos, redirecionamento de caminhos de arquivos e organização de arquivos mais flexível podem ser obtidos usando isso.
Solicitar que o usuário baixe suas chaves de “recuperação” pode levar o site a enganar o usuário para que ele crie uma nova carteira.
Na realidade, essas chaves seriam um arquivo zip com um link simbólico para um arquivo ou pasta confidencial no computador do usuário, como credenciais de provedor de nuvem.
O link simbólico seria ativado e o invasor teria acesso ao arquivo confidencial depois que a vítima descompactasse e carregasse as chaves de “recuperação” de volta ao site.
O site pode parecer autêntico, e o processo de obtenção e upload das chaves de “recuperação” pode parecer regular, de modo que o usuário pode nem perceber que algo está errado.
Para acessar suas contas, os clientes de muitos serviços online, incluindo carteiras criptográficas, devem baixar chaves de “recuperação”.
“O invasor aproveitaria essa prática comum, fornecendo ao usuário um arquivo zip contendo um link simbólico em vez de chaves de recuperação reais. Quando o usuário descompacta e carrega o arquivo, o link simbólico seria processado, permitindo ao invasor obter acesso a arquivos confidenciais no computador do usuário”, explicam os pesquisadores.
O tamanho do elemento de entrada do arquivo foi modificado pelos pesquisadores da Imperva usando CSS para que o arquivo seja carregado independentemente de onde a pasta foi colocada na página.
Palavra final
Os hackers frequentemente utilizam falhas de software, como a recentemente divulgada publicamente, para obter acesso a carteiras de criptomoedas e roubar o dinheiro que elas contêm.
É crucial manter seu software atualizado e parar de baixar arquivos ou clicar em links de fontes não autorizadas se quiser proteger seus ativos de criptomoeda.
Uma carteira de hardware é outra opção inteligente para armazenar sua criptomoeda porque não está conectada à Internet, o que a torna menos suscetível a ataques de hackers.
Para criar senhas seguras e exclusivas para suas contas criptográficas, os pesquisadores recomendam o uso de um gerenciador de senhas e também é essencial ativar a autenticação de dois fatores.
