Una vulnerabilidad de seguridad recientemente reparada en Microsoft Edge podría haber permitido a actores maliciosos instalar sigilosamente extensiones arbitrarias en los usuarios.’ sistemas, potencialmente conduciendo a acciones dañinas.
CVE-2024-21388 Explicado
Descubierto por el investigador de seguridad de Guardio Labs, Oleg Zaytsev, y rastreado como CVE-2024-21388, Esta falla podría explotarse aprovechando una API privada inicialmente destinada a fines de marketing.. A través de una divulgación responsable, Microsoft solucionó el problema en la versión estable de Edge 121.0.2277.83 lanzado en Enero 25, 2024, acreditando a Zaytsev y Jun Kokatsu por informarlo.
Como falla de escalada de privilegios, La explotación de CVE-2024-21388 requiere que los atacantes tomen medidas preparatorias de antemano., para manipular el entorno objetivo. La investigación de Guardio reveló que la vulnerabilidad permite a delincuentes con capacidades de ejecución de JavaScript en ciertos sitios web de Microsoft instalar extensiones desde la tienda de complementos de Edge sin el consentimiento del usuario..
Este exploit aprovecha el acceso privilegiado a API privadas específicas, como edgeMarketingPagePrivate, accesible desde sitios propiedad de Microsoft incluidos en la lista blanca, como bing.com y microsoft.com. Notablemente, la API incluye un método llamado installTheme(), permitir la instalación de extensiones utilizando identificadores únicos sin interacción del usuario.
El defecto surge de una validación insuficiente., permitiendo a los atacantes eludir las restricciones e instalar extensiones de forma sigilosa. Zaytsev destacado la posibilidad de que los atacantes aprovechen la confianza del usuario disfrazando extensiones dañinas como inofensivas, potencialmente conduciendo a una mayor explotación y ganancias financieras.
Aunque no hay evidencia de explotación en el mundo real, Guardio destacó la importancia de equilibrar la comodidad del usuario con la seguridad, haciendo hincapié en la necesidad de mecanismos de seguridad del navegador para evitar que vulnerabilidades similares sean explotadas en el futuro.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: