Behalve dat Chrome-gebruikers een pop-up laten zien waarin ze kunnen overstappen naar Microsoft Edge, blijkt dat het bedrijf er ook naar streeft bekende bugs en beveiligingsfouten van de browser en het bijbehorende systeem op te lossen. De technologiegigant heeft zojuist een eerdere glitchy update van zijn Edge-browser gerepareerd, die talloze problemen voor gebruikers veroorzaakte. Het blijkt echter dat er meer aan de hand is en dat dit specifieke geval ernstig kan zijn.
Dankzij een onlangs gepatchte bug in Microsoft Edge konden potentiële aanvallers extensies op het systeem van de gebruiker installeren. En het kan gebeuren zonder enige interactie van de gebruiker. Het zou met name kunnen worden uitgebuit voor financieel gewin of andere doeleinden.
Dit beveiligingslek, dat wordt bijgehouden als CVE-2024-21388, werd voor het eerst onthuld door beveiligingsonderzoeker Oleg Zaytsev van Guardio Labs, die het potentieel voor kwaadwillige exploitatie benadrukte.
Aanvallers hadden de Microsoft Edge-bug kunnen gebruiken om een extensie te installeren door misbruik te maken van een privé-API
Onderzoekers hebben de beveiligingsfout aangepakt in de stabiele versie 121.0.2277.83 van Microsoft Edge, uitgebracht op 25 januari 2024. Slechte actoren hadden de fout kunnen misbruiken om gebruik te maken van een privé-API die oorspronkelijk bedoeld was voor marketingdoeleinden. Deze API zou aanvallers in staat kunnen stellen browserextensies met brede machtigingen te installeren, wat zou kunnen leiden tot een ontsnapping uit de browsersandbox.
Als de kwetsbaarheid met succes werd uitgebuit, hadden aanvallers de rechten kunnen verkrijgen die nodig zijn om extensies op de systemen van gebruikers te installeren zonder hun toestemming. Een aanvaller kan dit mogelijk maken door misbruik te maken van een privé-API in de Chromium-gebaseerde Edge-browser. Naar verluidt verleende het bevoorrechte toegang tot een lijst met websites, waaronder Bing en Microsoft.
Door JavaScript op deze pagina's uit te voeren, konden aanvallers extensies uit de Edge Add-ons-winkel installeren. Er is geen interactie van de gebruiker vereist. De bug in Microsoft Edge kwam hoofdzakelijk voort uit onvoldoende validatie. Het zou aanvallers in staat kunnen stellen om elke extensie-ID uit de storefront te verstrekken en deze heimelijk te installeren.
De potentiële impact van dit beveiligingslek is aanzienlijk, omdat het de installatie van aanvullende kwaadaardige extensies had kunnen vergemakkelijken. In een hypothetisch aanvalsscenario zouden bedreigingsactoren niet alleen ogenschijnlijk onschuldige extensies voor de add-on store kunnen publiceren, maar deze ook kunnen gebruiken om kwaadaardige JavaScript-code in legitieme sites te injecteren. Vervolgens zouden gebruikers die deze sites bezoeken onbewust de gerichte extensies in hun browsers laten installeren zonder hun toestemming.
Gelukkig zijn er geen gegevens over een succesvolle exploitatie
Gelukkig is er geen bewijs van een succesvolle exploitatie van dit beveiligingslek. Browseraanpassingen zijn bedoeld om de gebruikerservaring te verbeteren. Ze kunnen echter onbedoeld nieuwe aanvalsvectoren introduceren en deze geregistreerde beveiligingsfout is daar een perfect voorbeeld van. Zoals Oleg Zaytsev van Guardio Labs benadrukte, kunnen aanvallers gebruikers gemakkelijk misleiden zodat ze ogenschijnlijk onschuldige extensies installeren, die kunnen dienen als de eerste stap in een complexere aanval.
