Các nhà nghiên cứu an ninh mạng vừa công bố một kỹ thuật tấn công mới, được đặt tên là “C4 Bomb” (viết tắt của Chrome Cookie Cipher Cracker), đã thành công trong việc vượt qua cơ chế mã hóa cookie AppBound Cookie Encryption được Google Chrome quảng bá rộng rãi. Phát hiện này đặt hàng triệu người dùng vào nguy cơ mới của việc đánh cắp cookie, lộ thông tin đăng nhập và các sự cố rò rỉ dữ liệu tiềm tàng, bất chấp những nỗ lực gần đây của Google nhằm tăng cường bảo mật Chrome chống lại phần mềm đánh cắp thông tin (infostealer malware).
Cơ Chế AppBound Cookie Encryption và Mục Tiêu Ban Đầu
Vào tháng 7 năm 2024, Google đã triển khai tính năng AppBound Cookie Encryption với phiên bản Chrome 127. Mục tiêu chính của tính năng này là ngăn chặn làn sóng phần mềm độc hại nhắm vào cookie trình duyệt, một phương tiện phổ biến để kẻ tấn công chiếm đoạt phiên làm việc và dữ liệu nhạy cảm của người dùng. Theo báo cáo từ CyberArk, cơ chế bảo vệ mới này đã bổ sung một lớp mã hóa kép: cookie được mã hóa lần đầu tiên bằng Windows Data Protection API (DPAPI) của người dùng đăng nhập, và sau đó được mã hóa lần nữa bằng DPAPI của tài khoản SYSTEM.
Để giải mã cookie, Chrome ủy quyền tác vụ này cho một máy chủ COM đặc quyền (được gọi là “dịch vụ nâng quyền – elevation service”). Dịch vụ này kiểm tra xem các yêu cầu có nguồn gốc từ tiến trình Chrome hợp pháp hay không, về lý thuyết sẽ ngăn chặn phần mềm độc hại có quyền hạn thấp truy cập vào dữ liệu nhạy cảm. Đây là một bước tiến đáng kể nhằm nâng cao rào cản cho kẻ tấn công, khiến việc đánh cắp cookie trở nên khó khăn hơn nhiều đối với các loại infostealer thông thường.
Phân Tích Kỹ Thuật Tấn Công C4 Bomb
Mặc dù đã có các lớp phòng thủ phức tạp này, các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng trong luồng mã hóa. Bằng cách khai thác một điểm yếu mật mã cổ điển được gọi là tấn công padding oracle, C4 Bomb cho phép kẻ tấn công – ngay cả những kẻ chỉ có quyền truy cập thấp – có thể giải mã một cách có hệ thống các blob cookie được bảo vệ. Cuộc tấn công này khai thác các lỗi tinh vi trong cách DPAPI xử lý phần đệm (padding) và báo cáo lỗi, sử dụng Windows Event Logs như một “oracle” (nguồn thông tin đáng tin cậy) để đoán phần đệm chính xác và dần dần khôi phục dữ liệu đã mã hóa.
Kỹ thuật C4 liên quan đến việc lặp đi lặp lại gửi các phiên bản đã sửa đổi của khóa cookie được mã hóa đến dịch vụ nâng quyền và quan sát các thông báo lỗi trả về. Qua hàng nghìn lần lặp lại, kẻ tấn công có thể xây dựng lại khóa được mã hóa bởi SYSTEM. Sau đó, họ sử dụng phương pháp giải mã tiêu chuẩn ở cấp độ người dùng để lấy khóa cookie cuối cùng và truy cập tất cả các cookie được lưu trữ – mà không cần bất kỳ quyền quản trị nào. Điều này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công vượt qua các rào cản bảo mật mà không cần phải leo thang đặc quyền, vốn là một trong những rào cản lớn nhất đối với nhiều loại phần mềm độc hại.
Bối Cảnh Tấn Công và Mối Lo Ngại Đang Gia Tăng
Việc công khai C4 Bomb diễn ra trong bối cảnh mối lo ngại ngày càng tăng về tốc độ thích nghi nhanh chóng của phần mềm đánh cắp thông tin với các biện pháp bảo vệ mới của Chrome. Trong những tháng gần đây, một số họ phần mềm độc hại – như Lumma, Meduza, Vidar và WhiteSnake – đã tự triển khai các phương pháp vượt qua riêng của chúng. Các kỹ thuật này bao gồm từ việc tiêm tiến trình trực tiếp (direct process injection) cho đến khai thác các lỗ hổng leo thang đặc quyền.
Việc phát hành các công cụ mã nguồn mở tự động hóa cuộc tấn công C4 càng làm tăng thêm rủi ro, khiến việc đánh cắp cookie tiên tiến trở nên dễ tiếp cận hơn đối với các đối tượng đe dọa ít tinh vi hơn. Điều này làm tăng tính cấp bách cho Google và cộng đồng bảo mật rộng lớn hơn trong việc phát triển các biện pháp đối phó mới. Một kỹ sư bảo mật của Chrome đã thừa nhận thách thức này: “Khi bối cảnh phần mềm độc hại liên tục phát triển, chúng tôi mong muốn tiếp tục hợp tác với những người khác trong cộng đồng bảo mật để cải thiện khả năng phát hiện và củng cố các biện pháp bảo vệ hệ điều hành đối với bất kỳ phương pháp vượt qua nào.”
Tác Động và Khuyến Nghị Phòng Ngừa
Cuộc tấn công C4 Bomb nhấn mạnh trò chơi “mèo vờn chuột” đang diễn ra giữa các nhà phát triển trình duyệt và tội phạm mạng. Mặc dù AppBound Encryption đã nâng cao rào cản cho kẻ tấn công, nghiên cứu mới nhất này cho thấy rằng ngay cả những biện pháp bảo vệ phức tạp cũng có thể bị phá hoại bởi các cuộc tấn công mật mã sáng tạo. Điều này đòi hỏi một sự cảnh giác liên tục và khả năng thích ứng nhanh chóng từ cả phía nhà phát triển và người dùng.
Người dùng – đặc biệt là các doanh nghiệp – được khuyến nghị nên duy trì cảnh giác cao độ, cập nhật các công cụ bảo mật thường xuyên và tránh lưu trữ các thông tin đăng nhập nhạy cảm trong trình duyệt cho đến khi các biện pháp phòng thủ mạnh mẽ hơn được triển khai. Việc áp dụng các biện pháp bảo mật bổ sung như xác thực đa yếu tố (MFA) cho các tài khoản quan trọng, sử dụng trình quản lý mật khẩu độc lập không phụ thuộc vào trình duyệt, và thực hiện đào tạo nhận thức về an toàn thông tin cho người dùng là rất cần thiết để giảm thiểu rủi ro từ các cuộc tấn công này. Đối với các tổ chức, việc giám sát nhật ký sự kiện Windows và các hành vi bất thường trên hệ thống cũng có thể giúp phát hiện sớm các dấu hiệu của cuộc tấn công padding oracle.
