Aparte de mostrando a los usuarios de Chrome una ventana emergente Para cambiar a Microsoft Edge, resulta que la empresa también se está esforzando por corregir errores conocidos y fallos de seguridad del navegador y del sistema asociado a él. El tecnología gigante acaba de Se corrigió una actualización anterior con fallas. a su navegador Edge, lo que estaba causando numerosos problemas a los usuarios. Sin embargo, resulta que hay más y este en particular podría ser grave.
A error recientemente parcheado en Microsoft Edge permitió a posibles atacantes instalar extensiones en el sistema del usuario. Y podría suceder sin ninguna interacción por parte del usuario. En particular, podría explotarse para obtener ganancias financieras u otros fines.
Registrada como CVE-2024-21388, esta vulnerabilidad fue al principio revelado por Guardio Labs El investigador de seguridad Oleg Zaytsev, quien destacó su potencial de explotación maliciosa.
Los atacantes podrían haber utilizado el error de Microsoft Edge para instalar una extensión explotando una API privada
Los investigadores abordaron el falla de seguridad en la versión estable 121.0.2277.83 de Microsoft Edge lanzada el 25 de enero de 2024. Los malos actores podrían haber aprovechado la falla para aprovechar una API privada originalmente destinada a fines de marketing. Esta API podría permitir a los atacantes instalar extensiones de navegador con amplios permisos, lo que podría conducir a un escape del entorno de pruebas del navegador.
La vulnerabilidad, si se hubiera explotado con éxito, podría haber permitido a los atacantes obtener los privilegios necesarios para instalar extensiones en los sistemas de los usuarios sin su consentimiento. Un atacante podría lograrlo explotando una API privada en el navegador Edge basado en Chromium. Según se informa, otorgó acceso privilegiado a una lista de sitios web, incluidos Bing y Microsoft.
Al ejecutar JavaScript en estas páginas, los atacantes podrían instalar extensiones de la tienda de complementos de Edge. No requerirá ninguna interacción por parte del usuario. El error en Microsoft Edge se debió esencialmente a una validación insuficiente. Podría permitir a los atacantes proporcionar cualquier identificador de extensión desde el escaparate e instálelo sigilosamente.
El impacto potencial de esta vulnerabilidad es significativo, ya que podría haber facilitado la instalación de extensiones maliciosas adicionales. En un escenario de ataque hipotético, los actores de amenazas no solo podrían publicar extensiones aparentemente inofensivas en la tienda de complementos, sino también aprovecharlas para inyectar código JavaScript malicioso en sitios legítimos. Posteriormente, los usuarios que visitan estos sitios, sin saberlo, instalarían las extensiones específicas en sus navegadores sin su consentimiento.
Afortunadamente, no hay registros de una explotación exitosa.
Afortunadamente, no hay pruebas de que se haya aprovechado con éxito este fallo de seguridad. Las personalizaciones del navegador tienen como objetivo mejorar la experiencia del usuario. Sin embargo, sin darse cuenta pueden introducir nuevos vectores de ataque y este fallo de seguridad registrado es un ejemplo perfecto de ello. Como enfatizó Oleg Zaytsev de Guardio Labs, los atacantes pueden engañar fácilmente a los usuarios para que instalen extensiones aparentemente inofensivas, que podrían servir como paso inicial en un ataque más complejo.