Uma falha de segurança que agora foi corrigida no navegador da web Microsoft Edge poderia ter sido abusada para instalar extensões arbitrárias nos sistemas dos usuários e realizar ações maliciosas.
"Essa falha poderia ter permitido a um invasor explorar uma API privada, inicialmente destinada para fins de marketing, para instalar secretamente extensões adicionais do navegador com amplas permissões sem o conhecimento do usuário", disse o pesquisador de segurança da Guardio Labs, Oleg Zaytsev, em um novo relatório compartilhado com a The Hacker News.
Rastreada como
CVE-2024-21388
(pontuação CVSS: 6,5), foi corrigida pela Microsoft na versão estável do Edge 121.0.2277.83 lançada em 25 de janeiro de 2024, após a divulgação responsável em novembro de 2023.
A fabricante do Windows creditou tanto a Zaytsev quanto a Jun Kokatsu pelo relato do problema.
"Um invasor que explorasse com sucesso essa vulnerabilidade poderia obter os privilégios necessários para instalar uma extensão", disse a Microsoft em um aviso sobre a falha, acrescentando que "poderia levar a uma fuga do sandbox do navegador".
Descrevendo isso como uma falha de escalonamento de privilégio, a gigante de tecnologia também enfatizou que uma exploração bem-sucedida do bug exige que um invasor "execute ações adicionais antes da exploração para preparar o ambiente alvo".
De acordo com as descobertas da Guardio,
CVE-2024-21388
permite que um mau ator com a capacidade de executar JavaScript nas páginas bing[.]com ou microsoft[.]com instale quaisquer extensões da loja Edge Add-ons sem a necessidade de consentimento ou interação do usuário.
Isso é possível pelo fato de o navegador vir com acesso privilegiado a certas APIs privadas que possibilitam a instalação de um complemento desde que seja da própria loja de extensão do fornecedor.
Uma dessas APIs no navegador Edge baseado em Chromium é edgeMarketingPagePrivate, que é acessível a partir de um conjunto de sites autorizados que pertencem à Microsoft, incluindo bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com, e microsoftedgetips.microsoft[.]com, entre outros.
A API também inclui um método chamado installTheme() que, como o nome sugere, é projetado para instalar um tema da loja Edge Add-ons passando um identificador de tema único ("themeId") e seu arquivo de manifesto como entrada.
O bug identificado pela Guardio é essencialmente um caso de validação insuficiente, permitindo que um invasor forneça qualquer identificador de extensão da loja (em vez do themeId) e o instale de forma furtiva.
"Como um bônus adicional, como essa instalação de extensão não é feita exatamente da maneira que foi originalmente projetada, não haverá necessidade de qualquer interação ou consentimento do usuário", explicou Zaytsev.
Em um cenário de ataque hipotético aproveitando o
CVE-2024-21388
, um ator de ameaça poderia publicar uma extensão aparentemente inofensiva na loja de complementos e usá-la para injetar um código JavaScript malicioso no bing[.]com - ou qualquer um dos sites que têm permissão para acessar a API - e instalar uma extensão arbitrária de sua escolha invocando a API usando o identificador de extensão.
Dito de outra forma, executar a extensão especialmente elaborada no navegador Edge e acessar o bing[.]com instalará automaticamente a extensão alvo sem a permissão da vítima.
A Guardio disse à The Hacker News que, embora não existam evidências desse bug ter sido explorado no mundo real, ele destaca a necessidade de equilibrar a conveniência do usuário e a segurança, e como as personalizações do navegador podem inadvertidamente derrotar mecanismos de segurança e introduzir vários novos vetores de ataque.
"É relativamente fácil para os invasores enganar os usuários para instalarem uma extensão que parece inofensiva, sem perceber que é o passo inicial de um ataque mais complexo", disse Zaytsev.
"Esta vulnerabilidade poderia ser explorada para facilitar a instalação de extensões adicionais, potencialmente para ganho monetário."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...