Ende Dezember 2023 wurde die Cybersecurity-Community von einem schwerwiegenden Sicherheitsvorfall erschüttert: Eine koordinierte Angriffskampagne zielte auf populäre Chrome-Erweiterungen ab, darunter die weitverbreitete Extension des Datensicherheitsspezialisten Cyberhaven. Die Attacke offenbart besorgniserregende Schwachstellen in der Sicherheitsarchitektur des Chrome Web Stores.
Anatomie des Cyberhaven-Angriffs
Am 24. Dezember gelang es Cyberkriminellen durch eine hochentwickelte Phishing-Attacke, Zugriff auf ein Entwicklerkonto bei Cyberhaven zu erlangen. Die Angreifer nutzten diese kompromittierten Zugangsdaten, um eine manipulierte Version (24.10.4) der Extension zu veröffentlichen. Der eingeschleuste Schadcode war darauf ausgerichtet, Authentifizierungssitzungen und Browser-Cookies der Nutzer abzugreifen und diese Daten an die von den Angreifern kontrollierte Domain cyberhavenext[.]pro weiterzuleiten.
Weitreichende Auswirkungen auf Unternehmenskunden
Die kompromittierte Extension blieb etwa 30 Stunden aktiv, bevor sie identifiziert und aus dem Chrome Web Store entfernt wurde. Zu den betroffenen Nutzern zählen namhafte Unternehmen wie Snowflake, Motorola, Canon und Reddit. Während dieser Zeitspanne bestand das Risiko einer umfassenden Kompromittierung sensibler Unternehmensdaten durch die Angreifer.
Umfang der Kompromittierung
Untersuchungen von Nudge Security zeigen, dass mindestens vier weitere Chrome-Erweiterungen von der Angriffskampagne betroffen waren. Die Analyse der verwendeten Infrastruktur deutet darauf hin, dass möglicherweise noch weitere Extensions kompromittiert wurden. Die Ermittlungen laufen unter Beteiligung von Mandiant (Google) und Strafverfolgungsbehörden weiter.
Empfohlene Sicherheitsmaßnahmen
Für betroffene Nutzer und Organisationen werden folgende unmittelbare Schutzmaßnahmen empfohlen:
- Aktualisierung aller betroffenen Extensions auf Versionen nach dem 26. Dezember
- Sofortige Änderung sämtlicher kritischer Zugangsdaten
- Rotation aller API-Tokens
- Vollständiges Löschen der Browser-Daten und Reset der Einstellungen
- Detaillierte Überprüfung der Systemprotokolle auf verdächtige Aktivitäten
Dieser Vorfall unterstreicht die wachsende Bedeutung robuster Sicherheitsmaßnahmen im Umgang mit Browser-Erweiterungen. Die Implementation von Multi-Faktor-Authentifizierung für Entwicklerkonten und regelmäßige Sicherheitsaudits von Extensions sind keine optionalen Maßnahmen mehr, sondern absolute Notwendigkeit. Unternehmen sollten ihre Strategien zur Verwaltung von Browser-Erweiterungen überdenken und strikte Richtlinien für deren Nutzung implementieren.
