A ευπάθεια στον Microsoft Edge, η οποία έχει διορθωθεί, θα μπορούσε χρησιμοποιηθεί από κυβερνοεγκληματίες για την εγκατάσταση κακόβουλων επεκτάσεων at systems of the users.
“Η ευπάθεια θα μπορούσε να είχε επιτρέψει σε έναν εισβολέα να εκμεταλλευτεί ένα ιδιωτικό API, το οποίο αρχικά προοριζόταν για σκοπούς μάρκετινγκ, για να εγκαταστήσει κρυφά πρόσθετες επεκτάσεις με ευρείες άδειες, χωρίς τη γνώση του User“, stated ο ερευνητής ασφαλείας της Guardio Labs, Oleg Zaytsev.
The vulnerability shall be monitored as CVE-2024-21388 και διορθώθηκε στη σταθερή έκδοση Edge 121.0.2277.83, τον Ιανουάριο.
See also: Google: fixed two zero-day vulnerabilities in Chrome
Η επιτυχής εκμετάλλευση της ευπάθειας επιτρέπει σε έναν εισβολέα να αποκτήσει τα προνόμια που απαιτούνται, για την εγκατάσταση μιας επέκτασης στον Microsoft Edge.
Περιγράφοντάς το ως error which allows the escalation of privileges, η εταιρεία τόνισε επίσης ότι η επιτυχής εκμετάλλευση απαιτεί από έναν εισβολέα να κάνει κάποια πράγματα για να προετοιμάσει το περιβάλλον στόχο.
Σύμφωνα με τα ευρήματα της Guardio, η ευπάθεια του Microsoft Edge επιτρέπει σε έναν κακόβουλο User, με δυνατότητα να εκτελεί JavaScript σε σελίδες bing[.]com ή microsoft[.]com, να εγκαταστήσει επεκτάσεις από το κατάστημα πρόσθετων Edge, χωρίς τη συναίνεση ή την αλληλεπίδραση του χρήστη.
Αυτό επιτρέπεται, επειδή το πρόγραμμα περιήγησης προσφέρει προνομιακή Accessed at σε ορισμένα ιδιωτικά API, που καθιστούν δυνατή την εγκατάσταση ενός πρόσθετου, εφόσον προέρχεται από το extension marketplace του ίδιου του προμηθευτή.
Ένα τέτοιο API στο πρόγραμμα περιήγησης Edge είναι το edgeMarketingPagePrivate, το οποίο είναι προσβάσιμο από ένα σύνολο allowlisted websites που ανήκουν στη Microsoft, συμπεριλαμβανομένων των bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com και microsoftedgetips .microsoft[.]com.
Η ευπάθεια σχετίζεται με ανεπαρκή επικύρωση, που επιτρέπει σε έναν εισβολέα να παρέχει οποιοδήποτε extension identifier από το storefront και να το εγκαταστήσει κρυφά.
See also: CISA: Added three new vulnerabilities to the KEV list
“Καθώς αυτή η εγκατάσταση επέκτασης δεν γίνεται με τον τρόπο για τον οποίο σχεδιάστηκε αρχικά, δεν θα υπάρχει ανάγκη για οποιαδήποτε αλληλεπίδραση ή συναίνεση από τον User“, εξήγησε ο Zaytsev.
Σε ένα υποθετικό σενάριο επίθεσης, ένας επιτιθέμενος θα μπορούσε να δημοσιεύσει μια φαινομενικά νόμιμη επέκταση στο κατάστημα πρόσθετων και να τη χρησιμοποιήσει για να εισάγει ένα κομμάτι κακόβουλου κώδικα JavaScript στο bing[.]com – ή σε οποιονδήποτε από τους ιστότοπους που επιτρέπεται να έχουν Accessed at στο API. Στη συνέχεια, θα είναι σε θέση να εγκαταστήσει μια επέκταση. Με άλλα λόγια, η εκτέλεση της ειδικά διαμορφωμένης επέκτασης στο πρόγραμμα περιήγησης Edge και η μετάβαση στο bing[.]com, θα εγκαταστήσει αυτόματα τη στοχευμένη επέκταση χωρίς την άδεια του θύματος.
Protection
Προς το παρόν, δεν έχουν παρατηρηθεί τέτοιες attacks. Ωστόσο, είναι πολύ σημαντικό για τους χρήστες να εφαρμόσουν τις updates που διορθώνουν την εν λόγω ευπάθεια του Microsoft Edge και να είναι προσεκτικοί, για να παρατηρούν ύποπτες δραστηριότητες. Η εγκατάσταση των τελευταίων ενημερώσεων ασφαλείας μπορεί να βοηθήσει στην προστασία από παρόμοιες απειλές.
See also: Chinese hackers breach networks via ScreenConnect and F5 BIG-IP vulnerabilities
The use of a reliable antivirus program μπορεί να προσφέρει επιπλέον προστασία. Αυτά τα προγράμματα μπορούν να ανιχνεύσουν και να απομακρύνουν τυχόν malware που ενδέχεται να έχει εγκατασταθεί.
Finally, the εκπαίδευση σε θέματα ασφάλειας στο διαδίκτυο είναι ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την ψηφιακή Security και να γνωρίζουν πώς να αναγνωρίζουν και να αποφεύγουν τις απάτες.
Source: thehackernews.com