Attention, cette faille de Windows met à mal vos cookies de Google Chrome

Une nouvelle vulnérabilité vient d'être découverte au sein du navigateur Chrome. Cette dernière permet d'accéder à l'enclave sécurisée stockant les cookies de l'utilisateur

Afin de renforcer la sécurité des cookies au sein de son navigateur, Google avait mis en place AppBound Cookie Encryption. La faille découverte par CyberArk Labs permet de déchiffrer cet espace.

Une nouvelle enclave sécurisée pas si sûre

Alors que les malwares pullulent sur le Web, les infostealers s'en donnent à cœur joie pour récupérer les informations de leurs victimes. Google avait entrepris de revoir la sécurité des cookies. Ces derniers, contenant notamment les identifiants de connexion des utilisateurs, étaient stockés chiffrés dans une base de données locale, avec une clé protégée par le Data Protection API (DPAPI) de Windows. Cependant, ce système permettait à tout processus disposant des droits de l’utilisateur d'opérer le déchiffrement.

Google avait alors introduit l'année dernière AppBound Cookie Encryption, un système combinant un chiffrement à double niveau (par le DPAPI utilisateur et par le DPAPI système) à une validation stricte du chemin d’exécution. Jusqu'à présent, cela suffisait à barrer la route aux malwares les plus sophistiqués. Mais, un nouveau type d'attaque, baptisé C4 (Chrome Cookie Cipher Cracker), change la donne.

Les chercheurs de CyberArk ont identifié que Chrome communique avec son service de déchiffrement via le modèle Component Object Model (COM) de Microsoft. Or, ce dernier est connu pour ses failles historiques. En modifiant certaines entrées du registre Windows, un attaquant peut détourner les requêtes COM vers un binaire malveillant ou un point de terminaison factice. Si Chrome ne trouve pas le service d’élévation, il revient silencieusement à son ancien modèle de chiffrement, plus vulnérable, permettant ainsi une collecte différée des cookies.

Une faille de Windows facilite le déchiffrement

L’attaque C4 exploite une faiblesse dans la manière dont Windows chiffre certaines données. Quand celle-ci ne sont pas d’une taille parfaite, un remplissage (appelé padding) est ajouté. Si ce remplissage est incorrect lors du déchiffrement, le système renvoie un message d’erreur spécifique. Un pirate peut donc modifier légèrement les blocs chiffrés et observer les erreurs retournées : cela lui permet, en testant différentes modifications, de deviner progressivement le contenu des données protégées.

Dans le cas de Chrome, l’attaquant envoie ces blocs modifiés au service qui gère le déchiffrement. Il surveille ensuite les réponses dans le journal des événements Windows. Grâce à ces retours, le hacker peut reconstituer la clé de chiffrement utilisée par le système, octet par octet. Une fois cette clé obtenue, il est donc en mesure d'accéder aux cookies protégés.