Browser berbasis Chromium — termasuk Chrome, Edge, dan Brave — mengelola ekstensi yang terpasang melalui file preferensi berformat JSON yang tersimpan di %AppData%\Google\User Data\Default\Preferences (untuk mesin yang bergabung domain) atau Secure Preferences (untuk sistem standalone).
Baca Juga : 5+ Extension AI Kunci Jawaban: Penyelamat PR dan Tugasmu!
Penelitian Synacktiv menunjukkan bahwa dengan mengubah langsung file-file ini, penyerang dapat membuat browser memuat ekstensi apa pun tanpa persetujuan pengguna atau keterlibatan Chrome Web Store.
Untuk berhasil melakukan kompromi diperlukan tiga prasyarat teknis: menghitung ID ekstensi terlebih dahulu, menghasilkan Message Authentication Codes (MAC) yang valid untuk entri ekstensi dan flag developer_mode, serta melewati kontrol kebijakan enterprise.
ID ekstensi diturunkan secara deterministik dari public key ekstensi atau jalur instalasinya melalui hash SHA-256 yang dipangkas menjadi 32 karakter heksadesimal lalu dipetakan ke alfabet khusus (a–p).
Pemeriksaan integritas Chromium menggunakan HMAC yang disemai (seeded) dengan nilai statis yang diekstrak dari resources.pak, tepatnya file resource nomor 146, untuk menandatangani kunci-kunci JSON penting. Penyerang membalikkan algoritme HMAC ini untuk menghitung MAC yang valid bagi extensions.settings.<crx_id> dan extensions.developer_mode, sehingga memungkinkan pendaftaran diam-diam (silent) dari ekstensi backdoor mereka.
Membobol Kontrol GPO Chrome Extension
Lingkungan enterprise umumnya memasang GPO untuk melakukan whitelist atau blacklist ekstensi melalui kebijakan seperti ExtensionInstallAllowlist dan ExtensionInstallBlocklist.
Ada tiga metode evasi canggih yang dapat melemahkan kontrol ini:
1. Reuse RSA public key
Synacktiv menyatakan bahwa dengan menggunakan kembali public key RSA dari ekstensi yang disetujui perusahaan (misalnya Adobe Acrobat Reader untuk Chrome), penyerang dapat menghasilkan ID ekstensi yang cocok. Mereka kemudian menyuntikkan ekstensi unpacked berbahaya menggunakan ID tersebut, sehingga melewati allowlist berbasis hash.
2. Collision antara unpacked dan store-installed extension
Ketika sebuah ekstensi unpacked dan ekstensi yang diinstal dari store memiliki ID yang sama, Chromium memprioritaskan versi unpacked. Kolisi ini memberi celah bagi penyerang untuk secara diam-diam menimpa plugin tepercaya.
3. Manipulasi registry lokal
Windows menerapkan kebijakan menurut urutan LSDOU (Local, Site, Domain, OU). Meskipun kebijakan Chrome tersimpan di HKCU\Software\Policies\Google\Chrome, administrator lokal dapat menghapus atau memodifikasi entri registry, menghapus allowlist atau blocklist, sehingga kebijakan penegakan bisa dielakkan sepenuhnya.
Dengan memanfaatkan teknik-teknik ini, aktor ancaman dapat menyebarkan ekstensi yang mampu mencegat lalu lintas jaringan, mengambil cookie sesi, menjalankan service worker di background, dan menyuntikkan content script ke halaman web yang ditargetkan.
Toolkit proof-of-concept dari Synacktiv menunjukkan penyebaran jarak jauh berbasis SMB beserta server C2 kustom, yang memungkinkan eksekusi JavaScript di dalam proses browser dan melemahkan perlindungan seperti App-Bound Encryption.
Baca Juga : Windows Defender Firewall Kena Bug, Hacker Bisa Naikkan Akses Tanpa Izin
Untuk mengamankan dari vektor ini diperlukan pemantauan terhadap perubahan tidak sah pada file preferensi, validasi integritas kebijakan registry, dan deteksi pendaftaran ekstensi yang anomali. Tanpa mekanisme deteksi tersebut, “ekstensi hantu” menawarkan jalur persisten dan tersembunyi untuk eksfiltrasi data skala enterprise dan pergerakan lateral.
