Một nghiên cứu mới đã phát hiện một phương pháp cho phép **tấn công trình duyệt Chromium** để cài đặt các tiện ích tùy chỉnh một cách âm thầm trong môi trường Windows domain. Kỹ thuật này khai thác cách Chrome và các trình duyệt liên quan lưu trữ cài đặt tiện ích cũng như các kiểm tra bảo mật trong tệp tùy chọn, cho phép kẻ tấn công tiêm mã tùy ý vào trình duyệt người dùng mà không kích hoạt cảnh báo hiển thị. Phát hiện này làm nổi bật một **lỗ hổng bảo mật** nghiêm trọng trong cơ chế quản lý tiện ích.

Nghiên cứu, được xác thực trên phiên bản Chromium 130 đến bản phát hành mới nhất, chứng minh cách một thao tác ghi đĩa đơn giản có thể bỏ qua các biện pháp bảo vệ tiêu chuẩn và đạt được quyền truy cập bền bỉ, tàng hình. Đây là một minh chứng rõ ràng về một **tấn công trình duyệt Chromium** tinh vi.

Thông tin chi tiết về nghiên cứu này có thể được tìm thấy tại nguồn đáng tin cậy: Synacktiv.

Cơ chế Hoạt động của Tiện ích Mở rộng và Tệp Tùy chọn

Các tiện ích mở rộng Chromium được đóng gói dưới dạng tệp **.crx**, bao gồm manifest, script nền, script nội dung và các trang HTML tùy chọn cho cửa sổ pop-up hoặc tùy chọn.

Khi được cài đặt, các tiện ích này đăng ký các mục trong tệp JSON preferences dưới thư mục **AppData** của người dùng.

Các máy tính tham gia domain cập nhật tệp **Preferences** tiêu chuẩn, trong khi các hệ thống không tham gia domain sử dụng **Secure Preferences**. Cả hai tệp đều theo dõi các tiện ích đã cài đặt và thực thi tính toàn vẹn thông qua mã xác thực thông điệp (MACs).

Mỗi mục tiện ích được khóa bằng một ID duy nhất, được dẫn xuất từ khóa công khai hoặc đường dẫn cài đặt của tiện ích, và được bảo vệ bằng HMAC sử dụng một seed được trích xuất từ tài nguyên của trình duyệt.

Chi tiết Kỹ thuật Khai thác Tiện ích Mở rộng trong **Tấn công Trình duyệt Chromium**

Cơ chế của cuộc **tấn công trình duyệt Chromium** này dựa trên ba bước chính: tính toán trước ID tiện ích, tạo MAC chính xác và sửa đổi các tệp tùy chọn.

1. Tính toán trước ID Tiện ích Mục tiêu

Các nhà nghiên cứu tái tạo ID của tiện ích mục tiêu bằng cách nhúng khóa công khai của nó vào manifest. Bước này là tối quan trọng để vượt qua các kiểm tra bảo mật ban đầu.

2. Tạo MAC Hợp lệ

Tiếp theo, kẻ tấn công trích xuất seed HMAC từ tệp **resources.pak**, sau đó tính toán các MAC hợp lệ cho cả mục tiện ích và công tắc chế độ nhà phát triển. Việc này đảm bảo tính hợp lệ của tiện ích được tiêm.

3. Ghi đè Cài đặt JSON

Cuối cùng, các cài đặt JSON trong tệp tùy chọn bị ghi đè. Phương pháp này bỏ qua các hạn chế chế độ nhà phát triển của Chrome và cho phép tiện ích độc hại tải khi khởi động, hiệu quả là tạo backdoor cho trình duyệt mà không cần sử dụng cờ lệnh **–load-extension** hoặc Chrome Web Store.

Các Phương pháp Bỏ qua Chính sách Domain trong **Tấn công Trình duyệt Chromium**

Nhóm nghiên cứu cũng khám phá các phương pháp bổ sung để bỏ qua chính sách domain, tăng cường khả năng của **tấn công trình duyệt Chromium**.

• Giả mạo ID tiện ích: Bằng cách giả mạo ID của một tiện ích được phê duyệt, kẻ tấn công có thể bỏ qua danh sách cho phép (allowlists) của chính sách nhóm.
• Extension Stomping: Nếu một tiện ích đã giải nén chia sẻ ID với một tiện ích đã cài đặt từ cửa hàng, Chromium ưu tiên phiên bản cục bộ, cho phép kỹ thuật “extension stomping”.
• Thay đổi chính sách quản trị: Các chính sách của quản trị viên được lưu trữ dưới khóa registry trong **HKCU** có thể bị xóa hoặc thay đổi bởi bất kỳ tiến trình nào có quyền cao, làm vô hiệu hóa việc thực thi chính sách.

Ý nghĩa đối với Red Team

Đối với các Red Team, kỹ thuật này cung cấp một cách đáng tin cậy để đạt được sự duy trì (persistence) trong trình duyệt và thực thi JavaScript gốc trong tiến trình của Chromium, củng cố khả năng **tấn công trình duyệt Chromium**.

Việc tích hợp với các implant hiện có hoặc sử dụng các chiến thuật triển khai dựa trên SMB có thể mở rộng quyền **chiếm quyền điều khiển** trên nhiều máy chủ mục tiêu, mang lại lợi thế chiến thuật đáng kể.

Biện pháp **Phát hiện Xâm Nhập** và Phòng ngừa (Blue Team)

Các Blue Team phải giám sát các thay đổi tệp tùy chọn, theo dõi các sửa đổi trạng thái chế độ nhà phát triển không mong muốn và kiểm tra các khóa registry dưới **HKCUSoftwarePoliciesGoogleChrome**. Các hoạt động bất thường ở các khu vực này có thể là dấu hiệu của một **tấn công trình duyệt Chromium**.

Việc phát hiện các thao tác ghi không có chữ ký vào các tệp cấu hình nhạy cảm này là rất quan trọng để ngăn chặn các tiện ích mở rộng được cấy ghép không bị phát hiện. Đây là một điểm yếu cơ bản trong việc Chromium dựa vào một seed HMAC tĩnh và các tệp tùy chọn có thể ghi bởi người dùng.

Để tăng cường phòng thủ, có thể cần chuyển các kiểm tra tính toàn vẹn quan trọng vào các thành phần hệ thống được bảo vệ hoặc tăng cường cơ chế mã hóa cấp độ hệ điều hành.

Khi các trình duyệt ngày càng trở thành nền tảng ứng dụng đầy đủ, việc hiểu rõ và phòng chống các **tấn công trình duyệt Chromium** là vô cùng quan trọng để đảm bảo an toàn thông tin và giảm thiểu các rủi ro bảo mật tiềm tàng.