Palo Alto Networks renforce Prisma SASE pour contrer les attaques LMR

Les recherches de SquareX sur les attaques LMR (Last Mile Reassembly), que l'entreprise de cybersécurité a dévoilées lors de la DEF CON 32, ont enfin reçu la validation qu'elles attendaient. C'est une reconnaissance des risques liés aux malwares trompant les navigateurs.

Après plus d'un an d'alertes, Palo Alto Networks est le premier fournisseur SASE à reconnaître publiquement que les passerelles web sécurisées Secure Web Gateways (SWG) ne peuvent pas arrêter les attaques malveillantes évasives basées sur les navigateurs. Dans un article de blog partagé avant sa publication la semaine dernière, SquareX a défini les attaques LMR (Last Mile Reassembly) comme des techniques qui exploitent les limites des SWG pour faire passer des logiciels malveillants à travers les contrôles, afin de les réassembler à l'intérieur du navigateur sous forme de logiciels malveillants fonctionnels. Début septembre, sans nommer explicitement les attaques LMR comme cas d’usage cibles, Palo Alto Networks a annoncé des fonctionnalités pour contenir les « attaques évasives qui s'assemblent à l'intérieur du navigateur » capables de contourner les protections SWG. « Admettre cela publiquement serait très préjudiciable à leur activité de fournisseur SASE/SSE, d'autant que beaucoup d'entre eux ont des accords de niveau de service (SLA) qui promette une protection à 100 % contre les malwares connus », a expliqué Audrey Adeline de SquareX. « Selon nous, Palo Alto Networks constate que de plus en plus de clients sont victimes d'attaques utilisant des techniques LMR, ce qui est typique des fournisseurs historiques qui sont largement poussés par la forte demande des clients. »

Les défenses par proxy, inefficaces au niveau du navigateur

Les attaques LMR ne sont pas une technique unique, mais un ensemble de plus de 20 contournements qui exploitent des angles morts négligés. Dans l'une des méthodes, le logiciel malveillant est divisé en plusieurs morceaux qui échappent à l'inspection du proxy avant d'être réassemblés en une charge utile opérationnelle une fois à l'intérieur du navigateur de la victime. D'autres variantes utilisent des canaux binaires non surveillés tels que WebRTC ou gRPC, les mêmes canaux qui alimentent les applications de conférence et les flux de travail dans le cloud. Il en résulte un type d'attaques qui contournent les protections SWG dès leur conception. Selon Mme Adeline, cette vulnérabilité est loin d'être théorique, car SquareX la détecte et protège ses clients contre elle. « Le Last Mile Reassembly (LMR) permet aux attaquants d'introduire clandestinement tout script, site ou fichier malveillant, y compris des sites de phishing et des logiciels malveillants connus, qui contournent complètement les SWG », a-t-elle expliqué. « Une fois à l'intérieur du navigateur, les entreprises sont confrontées à des attaques de vol d'identifiants, d'exfiltration de données et de surveillance qui échappent à tout contrôle de leurs outils existants. »

Les chercheurs de SquareX ont étendu ces conclusions aux attaques dites « Data Splicing Attacks », montrant que les attaquants, voire des initiés, peuvent utiliser des techniques similaires pour exfiltrer des données sensibles. Que ce soit par des opérations de copier-coller ou par des sites de partage de fichiers pair-à-pair, les données échappent aux contrôles traditionnels de prévention des pertes de données (DLP) sans être détectées. Selon Mme Adeline, il est difficile de sécuriser des canaux tels que WebRTC et gRPC avec les outils SASE ou SSE traditionnels, qui manquent de visibilité au niveau du navigateur et obligent souvent les entreprises à les bloquer complètement. « La sécurité native du navigateur peut protéger ces canaux au « dernier kilomètre » dans le navigateur en bloquant les téléchargements malveillants, en inspectant les sites de phishing ou les scripts malveillants en temps réel », a-t-elle ajouté.

Palo Alto Networks, premier à briser le silence

Alors que SquareX a directement divulgué la vulnérabilité LMR à tous les principaux fournisseurs, Palo Alto Networks est le premier à la confirmer publiquement. Cette confirmation a pris la forme d'une annonce faite le 4 septembre, dans laquelle Palo Alto Networks a dévoilé les fonctionnalités ajoutées à son navigateur Prisma. Dans cette annonce, le fournisseur a reconnu que Prisma avait été mis à niveau « afin d'intercepter et de neutraliser les attaques cryptées et évasives qui s'assemblent à l'intérieur du navigateur et contournent les passerelles web sécurisées traditionnelles ». Avec cette annonce, l’entreprise a admis les lacunes architecturales des SWG dans la gestion de ces attaques. « Palo Alto Networks est le premier fournisseur SASE/SSE à reconnaître que l'évolution vers les menaces natives des navigateurs et la nécessité d'une sécurité native des navigateurs sont inévitables (d'où son acquisition de Talon pour 625 millions de dollars), mais nous pensons que d'autres fournisseurs SASE/SSE suivront le mouvement », a affirmé Mme Adeline. « Même si cela cannibalise leur activité lucrative actuelle, le navigateur étant le nouveau point d'accès, ils devront bientôt créer, acquérir ou s'associer à une entreprise de sécurité des navigateurs pour rester dans la course », a-t-elle avancé. On ne sait pas si les améliorations apportées au navigateur Prisma visent spécifiquement les attaques LMR, mais la description fournie par l'entreprise correspond étroitement à la définition du LMR donnée par SquareX. Palo Alto Networks n'a pas immédiatement répondu à une demande de commentaires.