Een inmiddels hersteld beveiligingslek in de Microsoft Edge-webbrowser zou kunnen zijn misbruikt om willekeurige extensies op de systemen van gebruikers te installeren en kwaadaardige acties uit te voeren.
“Deze fout had een aanvaller in staat kunnen stellen een privé-API te misbruiken, die in eerste instantie bedoeld was voor marketingdoeleinden, om heimelijk extra browserextensies met brede rechten te installeren zonder medeweten van de gebruiker”, zei beveiligingsonderzoeker Oleg Zaytsev van Guardio Labs in een nieuw rapport gedeeld met The Hacker. Nieuws.
Bijgehouden als CVE-2024-21388 (CVSS-score: 6,5), werd het door Microsoft aangepakt in Edge stabiele versie 121.0.2277.83 uitgebracht op 25 januari 2024, na verantwoorde openbaarmaking in november 2023. De Windows-maker heeft zowel Zaytsev als Jun Kokatsu gecrediteerd voor het probleem melden.
“Een aanvaller die deze kwetsbaarheid met succes misbruikt, zou de rechten kunnen verkrijgen die nodig zijn om een extensie te installeren”, zei Microsoft in een advies over de fout, eraan toevoegend dat “zou kunnen leiden tot een ontsnapping uit de browsersandbox.”
De technologiegigant beschreef het als een fout in de escalatie van privileges en benadrukte ook dat een succesvolle exploitatie van de bug vereist dat een aanvaller “vóór de exploitatie aanvullende acties onderneemt om de doelomgeving voor te bereiden.”
Volgens de bevindingen van Guardio biedt CVE-2024-21388 een slechte acteur de mogelijkheid om JavaScript op bing uit te voeren[.]com of microsoft[.]com-pagina's om extensies uit de Edge Add-ons-winkel te installeren zonder dat toestemming of interactie van de gebruiker vereist is.
Dit wordt mogelijk gemaakt door het feit dat de browser geprivilegieerde toegang krijgt tot bepaalde privé-API's die het mogelijk maken om een add-on te installeren, zolang deze maar afkomstig is van de eigen extensiemarktplaats van de leverancier.
Een van die API's in de op Chromium gebaseerde Edge-browser is edgeMarketingPagePrivate, die toegankelijk is vanaf een reeks websites op de toelatingslijst die toebehoren aan Microsoft, waaronder bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com en microsoftedgetips.microsoft[.]com, onder andere.
De API bevat ook een methode met de naam installTheme() die, zoals de naam al aangeeft, is ontworpen om een thema uit de Edge Add-ons-winkel te installeren door een unieke thema-ID (“themeId”) en het manifestbestand ervan als invoer door te geven.
De door Guardio geïdentificeerde bug is in wezen een geval van onvoldoende validatie, waardoor een aanvaller elke extensie-ID uit de storefront kan opgeven (in tegenstelling tot de themaId) en deze heimelijk kan installeren.
“Als extra bonus is er geen interactie of toestemming van de gebruiker nodig, omdat de installatie van deze extensie niet helemaal gebeurt op de manier waarvoor deze oorspronkelijk is ontworpen”, legt Zaytsev uit.
In een hypothetisch aanvalsscenario waarbij gebruik wordt gemaakt van CVE-2024-21388, zou een bedreigingsacteur een ogenschijnlijk onschuldige extensie voor de add-onswinkel kunnen publiceren en deze kunnen gebruiken om een stukje kwaadaardige JavaScript-code in bing te injecteren.[.]com – of een van de sites die toegang hebben tot de API – en een willekeurige extensie naar keuze installeren door de API aan te roepen met behulp van de extensie-ID.
Anders gezegd: het uitvoeren van de speciaal vervaardigde extensie in de Edge-browser en naar bing gaan[.]com zal de beoogde extensie automatisch installeren zonder toestemming van het slachtoffer.
Guardio vertelde The Hacker News dat, hoewel er geen bewijs is dat deze bug in het wild wordt uitgebuit, dit de noodzaak benadrukt om gebruikersgemak en veiligheid in evenwicht te brengen, en hoe browseraanpassingen onbedoeld beveiligingsmechanismen kunnen omzeilen en verschillende nieuwe aanvalsvectoren kunnen introduceren.
“Het is relatief eenvoudig voor aanvallers om gebruikers te misleiden om een extensie te installeren die onschadelijk lijkt, zonder te beseffen dat deze de eerste stap is in een complexere aanval”, aldus Zaytsev. “Deze kwetsbaarheid zou kunnen worden uitgebuit om de installatie van extra extensies te vergemakkelijken, mogelijk voor geldelijk gewin.”
