CVE-2024-21388 muliggør lydløs installation af ondsindede udvidelser

En nyligt rettet sikkerhedssårbarhed i Microsoft Edge kunne have gjort det muligt for ondsindede aktører at snigende installere vilkårlige udvidelser på brugere’ systemer, potentielt kan føre til skadelige handlinger.

CVE-2024-21388 Forklaret

Opdaget af Guardio Labs sikkerhedsforsker Oleg Zaytsev og sporet som CVE-2024-21388, denne fejl kunne udnyttes ved at udnytte en privat API, der oprindeligt var beregnet til markedsføringsformål. Gennem ansvarlig afsløring, Microsoft løste problemet i Edge stabil version 121.0.2277.83 udgivet i januar 25, 2024, kreditering af Zaytsev og Jun Kokatsu for at rapportere det.

Som en privilegie-eskaleringsfejl, udnyttelse af CVE-2024-21388 kræver, at angribere træffer forberedende handlinger på forhånd, for at manipulere målmiljøet. Guardios undersøgelse afslørede, at sårbarheden tillader dårlige skuespillere med JavaScript-udførelsesmuligheder på visse Microsoft-websteder at installere udvidelser fra Edge Add-ons-butikken uden brugerens samtykke.

Denne udnyttelse udnytter privilegeret adgang til specifikke private API'er, såsom edgeMarketingPagePrivate, tilgængelig fra hvidlistede Microsoft-ejede websteder som bing.com og microsoft.com. Især, API'en indeholder en metode kaldet installTheme(), muliggør installation af udvidelser ved hjælp af unikke identifikatorer uden brugerinteraktion.

Fejlen skyldes utilstrækkelig validering, giver hackere mulighed for at omgå restriktioner og installere udvidelser snigende. Zaytsev fremhævet potentialet for angribere til at udnytte brugertillid ved at skjule skadelige udvidelser som harmløse, potentielt kan føre til yderligere udnyttelse og økonomisk gevinst.

Selvom der ikke er beviser for udnyttelse i den virkelige verden, Guardio bemærkede vigtigheden af at balancere brugerkomfort med sikkerhed, understreger behovet for browsersikkerhedsmekanismer at forhindre lignende sårbarheder i at blive udnyttet i fremtiden.