Bug do Microsoft Edge Poderia ter Permitido Atacantes a Instalar Silenciosamente Extensões Maliciosas
28 de Março de 2024

Uma falha de segurança que agora foi corrigida no navegador da web Microsoft Edge poderia ter sido abusada para instalar extensões arbitrárias nos sistemas dos usuários e realizar ações maliciosas.

"Essa falha poderia ter permitido a um invasor explorar uma API privada, inicialmente destinada para fins de marketing, para instalar secretamente extensões adicionais do navegador com amplas permissões sem o conhecimento do usuário", disse o pesquisador de segurança da Guardio Labs, Oleg Zaytsev, em um novo relatório compartilhado com a The Hacker News.

Rastreada como CVE-2024-21388 (pontuação CVSS: 6,5), foi corrigida pela Microsoft na versão estável do Edge 121.0.2277.83 lançada em 25 de janeiro de 2024, após a divulgação responsável em novembro de 2023.

A fabricante do Windows creditou tanto a Zaytsev quanto a Jun Kokatsu pelo relato do problema.

"Um invasor que explorasse com sucesso essa vulnerabilidade poderia obter os privilégios necessários para instalar uma extensão", disse a Microsoft em um aviso sobre a falha, acrescentando que "poderia levar a uma fuga do sandbox do navegador".

Descrevendo isso como uma falha de escalonamento de privilégio, a gigante de tecnologia também enfatizou que uma exploração bem-sucedida do bug exige que um invasor "execute ações adicionais antes da exploração para preparar o ambiente alvo".

De acordo com as descobertas da Guardio, CVE-2024-21388 permite que um mau ator com a capacidade de executar JavaScript nas páginas bing[.]com ou microsoft[.]com instale quaisquer extensões da loja Edge Add-ons sem a necessidade de consentimento ou interação do usuário.

Isso é possível pelo fato de o navegador vir com acesso privilegiado a certas APIs privadas que possibilitam a instalação de um complemento desde que seja da própria loja de extensão do fornecedor.

Uma dessas APIs no navegador Edge baseado em Chromium é edgeMarketingPagePrivate, que é acessível a partir de um conjunto de sites autorizados que pertencem à Microsoft, incluindo bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com, e microsoftedgetips.microsoft[.]com, entre outros.

A API também inclui um método chamado installTheme() que, como o nome sugere, é projetado para instalar um tema da loja Edge Add-ons passando um identificador de tema único ("themeId") e seu arquivo de manifesto como entrada.

O bug identificado pela Guardio é essencialmente um caso de validação insuficiente, permitindo que um invasor forneça qualquer identificador de extensão da loja (em vez do themeId) e o instale de forma furtiva.

"Como um bônus adicional, como essa instalação de extensão não é feita exatamente da maneira que foi originalmente projetada, não haverá necessidade de qualquer interação ou consentimento do usuário", explicou Zaytsev.

Em um cenário de ataque hipotético aproveitando o CVE-2024-21388 , um ator de ameaça poderia publicar uma extensão aparentemente inofensiva na loja de complementos e usá-la para injetar um código JavaScript malicioso no bing[.]com - ou qualquer um dos sites que têm permissão para acessar a API - e instalar uma extensão arbitrária de sua escolha invocando a API usando o identificador de extensão.

Dito de outra forma, executar a extensão especialmente elaborada no navegador Edge e acessar o bing[.]com instalará automaticamente a extensão alvo sem a permissão da vítima.

A Guardio disse à The Hacker News que, embora não existam evidências desse bug ter sido explorado no mundo real, ele destaca a necessidade de equilibrar a conveniência do usuário e a segurança, e como as personalizações do navegador podem inadvertidamente derrotar mecanismos de segurança e introduzir vários novos vetores de ataque.

"É relativamente fácil para os invasores enganar os usuários para instalarem uma extensão que parece inofensiva, sem perceber que é o passo inicial de um ataque mais complexo", disse Zaytsev.

"Esta vulnerabilidade poderia ser explorada para facilitar a instalação de extensões adicionais, potencialmente para ganho monetário."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...