Уязвимости в расширениях Google Chrome и определение их через System Center ConfigMgr

18.01.2018

via https://t.me/MicrosoftRus

В очередной раз в Chrome Web Store были обнаружены вредоносные расширения. По данным исследователей, расширения позволяли своим операторам отправлять зараженным браузерам любые команды в формате кода JavaScript. К счастью для пострадавших злоумышленники использовали эту возможность лишь для кликфрода (браузер загружал специальные сайты в фоновом режиме и скликивал на них рекламу), а также различных SEO-манипуляций.

Хуже того, специалисты ICEBRG уверенны, что среди пользователей опасных аддонов были сотрудники крупных компаний, и атакующие в теории имели возможность следить за пострадавшими пользователями и организациями, занимаясь шпионажем и другими вещами, куда хуже банального скликивания рекламы.

Как вы отслеживаете расширения для браузеров на конечных девайсах? Если с системными обновлениями и обновлениями для ПО все более и менее понятно, то вот с расширениями появляется много нюансов. Понятно, что самый простой способ запретить через admx шаблоны устанавливать расширения, но этот вариант может подходить не для всех.

В @configmgr обсудили варианты и родилось два скрипта в Configuration Items для Windows и macOS (для Ubuntu тоже должен работать, но надо смотреть папку с Хромом).

Windows:

[bool](get-item "$($env:SystemDrive)\Users\*\AppData\local\Google\Chrome\User Data\Default\Extensions\*" -ErrorAction 0).Where{@("ginfoagmgomhccdaclfbbbhfjgmphkph", "mpneoicaochhlckfkackiigepakdgapj", "djffibmpaakodnbmcdemmmjmeolcmbae", "ppmibgfeefcglejjlpeihfdimbkfbbn") -contains $_.Name}

thx Aleksandr Chebotov

macOS:

#!/bin/bash
loggedInUser=$(stat -f%Su /dev/console)
vulnExt=(ginfoagmgomhccdaclfbbbhfjgmphkph mpneoicaochhlckfkackiigepakdgapj djffibmpaakodnbmcdemmmjmeolcmbae ppmibgfeefcglejjlpeihfdimbkfbbn)
dir=($(ls /Users/$loggedInUser/Library/Application\ Support/Google/Chrome/Default/Extensions/))
intersections=()
for item1 in "${vulnExt[@]}"; do
for item2 in "${dir[@]}"; do
if [[ $item1 == "$item2" ]]; then
intersections+=( "$item1" )
break
fi
done
done
if [ "${intersections}" == "" ]; then
echo Compliant
else
echo Non-Compliant
fi

via https://t.me/MicrosoftRus