Après plus d’un an d’attaques basées sur un navigateur évasives, Squarex obtient la validation alors que Palo Alto Networks reconnaît les limitations de SWG pour les aborder.
Les recherches de Squarex sur les attaques de réassemblage du dernier mile (LMR), que la société de cybersécurité native du navigateur a divulguée au DEF CON 32, a finalement reçu la validation qu’il attendait.
Après plus d’un an d’avertissement, Palo Alto Networks est devenu le premier grand fournisseur de sase à reconnaître publiquement que les passerelles Web sécurisées (SWGS) ne peuvent pas arrêter ces attaques malveillantes évasives basées sur un navigateur.
Plus tôt ce mois-ci, sans nommer explicitement les attaques de LMR comme cas d’utilisation cible, Palo Alto Networks a annoncé de nouvelles capacités visant à contenir des «attaques évasives qui se réunissent à l’intérieur du navigateur» capables de contourner les protections SWG.
«Admettre cela publiquement serait largement préjudiciable à leur entreprise (SSE des fournisseurs), en particulier parce que beaucoup d’entre eux ont des SLA promettant de protéger contre 100% des Malwares connus», a expliqué Audrey Adeline, du bureau du fondateur de Squarex. «Notre meilleure supposition est que Palo Alto Networks voit plus de ses clients attaqués en utilisant des techniques LMR, ce qui est typique de grands fournisseurs sortants qui sont largement motivés par une demande importante des clients.»
Pourquoi les défenses par procuration échouent au navigateur
Les attaques LMR ne sont pas une seule astuce mais une boîte à outils de plus de 20 contournements qui exploitent les angles morts négligeaient. Dans une méthode, les logiciels malveillants sont divisés en morceaux qui glissent l’inspection par procuration avant de se remonter dans une charge utile de travail une fois à l’intérieur du navigateur de la victime. D’autres variations conduisent des canaux binaires non gérés tels que WebBrTC ou GRPC, les mêmes tuyaux qui alimentaient les applications de conférence et les flux de travail cloud. Le résultat est une classe d’attaques qui bat les protections SWG par conception.
Adeline a déclaré que cette exposition était loin d’être théorique, car Squarex a détecté et protégé les clients contre eux. « LMR permet aux attaquants de faire passer de la contrebande de tout script, site ou fichier malveillant – y compris les sites de phishing et les logiciels malveillants connus – qui contourne complètement les SWG », a-t-elle expliqué. «Une fois qu’il est à l’intérieur du navigateur, les entreprises sont confrontées à un vol d’identification, à l’exfiltration des données et à la surveillance des attaques sans aucune surveillance de leurs outils existants.»
Les chercheurs de Squarex ont étendu ces résultats dans des «attaques d’épissage de données», montrant que les attaquants, ou même les initiés, peuvent utiliser des techniques similaires pour exfiltrer des données sensibles. Que ce soit via des opérations de copie-coller ou des sites de partage de fichiers de peer-to-peer, les données projettent les contrôles traditionnels de prévention de la perte de données (DLP) non détectés.
Selon Adeline, la sécurisation des canaux comme WebBrTC et GRPC est difficile avec des outils traditionnels SASE ou SSE, qui manquent de visibilité au niveau du navigateur et obligent souvent les entreprises à les bloquer complètement. La sécurité native du navigateur, a-t-elle dit, peut protéger ces canaux au «dernier mile» du navigateur en bloquant les téléchargements malveillants, en inspectant des sites de phishing ou des scripts malveillants en temps réel.
Palo Alto réseaux d’abord pour rompre le silence
Alors que Squarex a directement divulgué la vulnérabilité LMR à tous les principaux fournisseurs, Palo Alto Networks est le premier à le confirmer publiquement. La reconnaissance est venue sous la forme d’une annonce du 4 septembre où Palo Alto Networks a dévoilé de nouvelles capacités ajoutées à son navigateur Prisma.
Dans l’annonce, la société a déclaré que le navigateur de Prisma avait été mis à niveau «pour intercepter et neutraliser les attaques évasives chiffrées qui se réunissent à l’intérieur du navigateur et contournent les passerelles Web sécurisées traditionnelles». Avec l’annonce, la société a admis le déficit architectural des SWG pour gérer ces attaques.
“Palo Alto Networks represent the first among SASE/SSE vendors to recognize that the shift towards browser-native threats and need for browser-native security is inevitable (hence their acquisition of Talon for $625M), but we expect more SASE/SSE vendors to follow suit as while it is cannibalistic to their existing cash cow business, as the browser becomes the new endpoint, they will have to build, acquire or partner with a Browser Security Company restera bientôt pertinent », a ajouté Adeline.
