Mandiant scopre come aggirare l'isolamento del browser sfruttando i codici QR

Mandiant ha scoperto una nuova tecnica per aggirare le tecnologie di isolamento del browser facendo leva sui codici QR. La tecnica scoperta da Mandiant è al momento un proof-of-concept, ma mette in luce una possibile vulnerabilità di una tecnologia di sicurezza che nei tempi recenti ha preso sempre più piede come misura per contrastare l'esecuzione di codice e script danosi in locale.

L'isolamento del browser prevede che tutte le richieste locali vengano reindirizzate a web browser remoti ospitati in ambienti cloud o su macchine virtuali. In questo modo, quando le richieste avvengono tramite HTTP, qualsiasi contenuto potenzialmente dannoso può essere eseguito sul browser remoto invece che su quello locale e la pagina viene mostrata nel browser locale solo come un "insieme di pixel", proteggendo quindi il sistema dal rischio di esecuzione di codice dannoso. 

I ricercatori di Mandiant sono riusciti però a sfruttare questo schema di funzionamento per far sì che un server di comando e controllo possa inviare comandi ad un sistema compromesso, aggirando le misure di isolamento del browser: invece di inviare comandi, che sarebbero rilevati e neutralizzati, i ricercatori sono riusciti a codificare i comandi desiderati in un QR code che viene visualizzato in una pagina web, mostrata sul browser locale.

Schema di funzionamento del PoC individuato da Mandiant

A questo punto un malware già presente sul sistema può decifrare il QR Code e ricevere i comandi dal server C2. I ricercatori di Mandiant hanno dimostrato la tecnica sfruttando Google Chrome e la funzionalità External C2 di Cobalt Strike, uno strumento di penetration testing che viene spesso utilizzato impropriamente per la compromissione di sistemi.

Come dicevamo in precedenza, la tecnica individuata da Mandiant è un proof-of-concept, che tra l'altro mostra qualche limite. Anzitutto è stato necessario utilizzare QR Code di dimensione inferiore rispetto al massimo dell'informazione totale che un QR Code è in grado di veicolare, per evitare problemi di visualizzazione. In seconda battuta è necessario considerare i tempi di latenza, dato che ogni richiesta impiega circa 5 secondi e limita di fatto il trasferimento dati a circa 438 byte al secondo, rendendo la tecnica non adatta per l'invio di payload di grandi dimensioni. Infine Mandiant rileva come l'esperimento condotto non abbia preso in considerazione altre misure di sicurezza che spesso lavorano in sinergia, come ad esempio la verifica della reputazione del dominio, il controllo dell'URL, la prevenzione di perdite di dati e l'euristica delle richieste: tutto ciò potrebbe in alcuni casi bloccare l'attacco o renderlo inefficace.

La presenza di queste limitazioni non è sufficiente, però, a far abbassare la guardia: quanto individuato da Mandiant può rappresentare una minaccia in alcune situazioni lasciando modo a malintenzionati di disporre di un veicolo per perpetrare le loro malefatte: i ricercatori di Mandiant suggeriscono di mantenere elevata l'attenzione nel monitoraggio di traffico di rete anomalo e nell'uso di browser web in modalità automatica.