Se podría haber abusado de una falla de seguridad ahora parcheada en el navegador web Microsoft Edge para instalar extensiones arbitrarias en los sistemas de los usuarios y llevar a cabo acciones maliciosas.
«Este fallo podría haber permitido a un atacante explotar una API privada, inicialmente destinada a fines de marketing, para instalar de forma encubierta extensiones de navegador adicionales con amplios permisos sin el conocimiento del usuario», dijo el investigador de seguridad de Guardio Labs, Oleg Zaytsev. dicho en un nuevo informe compartido con The Hacker News.
Seguimiento como CVE-2024-21388 (Puntuación CVSS: 6.5), Microsoft lo solucionó en la versión estable de Edge 121.0.2277.83 lanzada el 25 de enero de 2024, luego de la divulgación responsable en noviembre de 2023. El fabricante de Windows le dio crédito tanto a Zaytsev como a Jun Kokatsu por informar el problema.
«Un atacante que explotara con éxito esta vulnerabilidad podría obtener los privilegios necesarios para instalar una extensión», dijo Microsoft en un aviso sobre la falla, agregando que «podría conducir a un escape del entorno de pruebas del navegador».
Al describirlo como una falla de escalada de privilegios, el gigante tecnológico también enfatizó que una explotación exitosa del error requiere que un atacante «tome acciones adicionales antes de la explotación para preparar el entorno objetivo».
Según los hallazgos de Guardio, CVE-2024-21388 permite a un mal actor ejecutar JavaScript en Bing.[.]com o microsoft[.]com para instalar cualquier extensión de la tienda de complementos de Edge sin requerir el consentimiento o la interacción del usuario.
Esto es posible gracias al hecho de que el navegador viene con acceso privilegiado a ciertas API privadas que permiten instalar un complemento siempre que sea del propio mercado de extensiones del proveedor.
Una de esas API en el navegador Edge basado en Chromium es edgeMarketingPagePrivate, a la que se puede acceder desde un conjunto de sitios web incluidos en la lista permitida que pertenecen a Microsoft, incluido Bing.[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com y microsoftedgetips.microsoft[.]com, entre otros.
La API también incluye un método llamado installTheme() que, como su nombre lo indica, está diseñado para instalar un tema desde la tienda de complementos de Edge pasando un identificador de tema único («themeId») y su archivo de manifiesto como entrada.
El error identificado por Guardio es esencialmente un caso de validación insuficiente, lo que permite a un atacante proporcionar cualquier identificador de extensión desde el escaparate (a diferencia del themeId) e instálelo sigilosamente.
«Como ventaja adicional, como la instalación de esta extensión no se realiza de la manera para la que fue diseñada originalmente, no habrá necesidad de interacción ni consentimiento del usuario», explicó Zaytsev.
En un escenario de ataque hipotético que aprovecha CVE-2024-21388, un actor de amenazas podría publicar una extensión aparentemente inofensiva en la tienda de complementos y usarla para inyectar un fragmento de código JavaScript malicioso en Bing.[.]com, o cualquiera de los sitios a los que se les permite acceder a la API, e instalar una extensión arbitraria de su elección invocando la API utilizando el identificador de extensión.
Dicho de otra manera, ejecutar la extensión especialmente diseñada en el navegador Edge e ir a bing[.]com instalará automáticamente la extensión de destino sin el permiso de la víctima.
Guardio dijo a The Hacker News que si bien no hay evidencia de que este error haya sido explotado en la naturaleza, resalta la necesidad de equilibrar la comodidad y la seguridad del usuario, y cómo las personalizaciones del navegador pueden anular inadvertidamente los mecanismos de seguridad e introducir varios vectores de ataque nuevos.
«Es relativamente fácil para los atacantes engañar a los usuarios para que instalen una extensión que parece inofensiva, sin darse cuenta de que sirve como paso inicial en un ataque más complejo», dijo Zaytsev. «Esta vulnerabilidad podría explotarse para facilitar la instalación de extensiones adicionales, potencialmente para obtener ganancias monetarias».