Pesquisadores de cibersegurança divulgaram uma falha de segurança agora corrigida no navegador Opera para Microsoft Windows e Apple MacOS que poderia ser explorada para executar qualquer arquivo no sistema operacional subjacente.
A vulnerabilidade de execução de código remoto recebeu o codinome MyFlaw pela equipe de pesquisa da Guardio Labs, devido ao fato de se aproveitar de um recurso chamado My Flow que torna possível a sincronização de mensagens e arquivos entre dispositivos móveis e desktop.
"Isso é alcançado por meio de uma extensão de navegador controlada, contornando efetivamente a sandbox do navegador e todo o processo do navegador", disse a empresa em um comunicado compartilhado com The Hacker News.
A questão afeta tanto o navegador Opera quanto o Opera GX.
Após a divulgação responsável em 17 de novembro de 2023, foi abordada como parte das atualizações enviadas em 22 de novembro de 2023.
My Flow possui uma interface semelhante a um bate-papo para trocar notas e arquivos, este último pode ser aberto por meio de uma interface web, o que significa que um arquivo pode ser executado fora dos limites de segurança do navegador.
Está pré-instalado no navegador e é facilitado por meio de uma extensão de navegador interna chamada "Opera Touch Background", que é responsável por se comunicar com seu homólogo móvel.
Isso também significa que a extensão vem com seu próprio arquivo de manifesto especificando todas as permissões necessárias e seu comportamento, incluindo uma propriedade conhecida como externally_connectable que declara quais outras páginas da web e extensões podem se conectar a ela.
No caso do Opera, os domínios que podem conversar com a extensão devem corresponder aos padrões "*.flow.opera[.]com" e ".flow.op-test[.]net" - ambos controlados pelo próprio fornecedor do navegador.
"Isso expõe a API de mensagens a qualquer página que corresponda aos padrões de URL que você especificar", observa o Google em sua documentação.
"O padrão URL deve conter pelo menos um domínio de segundo nível."
Guardio Labs disse que conseguiu desenterrar uma versão "esquecida há muito tempo" da página de destino do My Flow hospedada no domínio "web.flow.opera[.]com" usando a ferramenta scanner de site urlscan[.]io.
"A página em si parece bastante com a atual em produção, mas as mudanças estão por baixo dos panos: Não só dela falta a meta tag [política de segurança de conteúdo], mas também guarda uma tag de script chamando para um arquivo JavaScript sem nenhuma verificação de integridade", disse a empresa.
"Isso é exatamente o que um invasor precisa - um ativo inseguro, esquecido, vulnerável à injeção de código e, mais importante, tem acesso a uma API de navegador nativa de (muito) alta permissão."
A cadeia de ataque então se baseia na criação de uma extensão especialmente criada que se disfarça como um dispositivo móvel para se parear com o computador da vítima e transmitir um payload malicioso criptografado por meio do arquivo JavaScript modificado para o host para execução subsequente, solicitando ao usuário que clique em qualquer lugar na tela.
Os resultados destacam a crescente complexidade dos ataques baseados em navegador e os diferentes vetores que podem ser explorados por atores de ameaças em seu benefício.
"Ao operar em ambientes de sandbox, as extensões podem ser ferramentas poderosas para os hackers, permitindo que roubem informações e rompam os limites de segurança do navegador", disse a empresa ao The Hacker News.
"Isso sublinha a necessidade de mudanças no design interno no Opera e melhorias na infraestrutura do Chromium.
Por exemplo, desativar as permissões de extensão de terceiros em domínios de produção dedicados, semelhantes à loja web do Chrome, é recomendado, mas ainda não foi implementado pela Opera."
Quando procurada para comentar, a Opera disse que agiu rapidamente para fechar o buraco de segurança e implementar uma correção no lado do servidor e que está tomando medidas para evitar que tais problemas aconteçam novamente.
"Nossa estrutura atual usa um padrão HTML e é a opção mais segura que não interrompe a funcionalidade-chave", disse a empresa.
"Depois que a Guardio nos alertou sobre essa vulnerabilidade, removemos a causa desses problemas e estamos garantindo que problemas semelhantes não apareçam no futuro."
"Gostaríamos de agradecer ao Guardio Labs pelo seu trabalho em descobrir e nos alertar imediatamente sobre essa vulnerabilidade.
Essa colaboração demonstra como trabalhamos juntos com especialistas e pesquisadores de segurança em todo o mundo para complementar nossos próprios esforços para manter e melhorar a segurança de nossos produtos e garantir que nossos usuários tenham uma experiência segura online.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...