Une vulnérabilité de sécurité récemment corrigée dans Microsoft Edge aurait pu permettre à des acteurs malveillants d'installer furtivement des extensions arbitraires sur les utilisateurs.’ systèmes, conduisant potentiellement à des actions nuisibles.
CVE-2024-21388 expliqué
Découvert par le chercheur en sécurité de Guardio Labs, Oleg Zaytsev, et suivi comme CVE-2024-21388, cette faille pourrait être exploitée en exploitant une API privée initialement destinée à des fins marketing. Grâce à une divulgation responsable, Microsoft a résolu le problème dans la version stable d'Edge 121.0.2277.83 publié en Janvier 25, 2024, créditant Zaytsev et Jun Kokatsu pour l'avoir signalé.
En tant que faille d'élévation de privilèges, l'exploitation de CVE-2024-21388 nécessite que les attaquants prennent des mesures préparatoires au préalable, afin de manipuler l'environnement cible. L'enquête de Guardio a révélé que la vulnérabilité permet à des acteurs malveillants disposant de capacités d'exécution JavaScript sur certains sites Web Microsoft d'installer des extensions à partir de la boutique Edge Add-ons sans le consentement de l'utilisateur..
Cet exploit exploite un accès privilégié à des API privées spécifiques, tel que edgeMarketingPagePrivate, accessible à partir de sites appartenant à Microsoft sur liste blanche comme bing.com et microsoft.com. Notamment, l'API inclut une méthode appelée installTheme(), permettre l'installation d'extensions à l'aide d'identifiants uniques sans interaction de l'utilisateur.
La faille vient d'une validation insuffisante, permettant aux attaquants de contourner les restrictions et d'installer des extensions furtivement. Zaïtsev a souligné la possibilité pour les attaquants d'exploiter la confiance des utilisateurs en déguisant les extensions nuisibles en inoffensives, conduisant potentiellement à une exploitation accrue et à des gains financiers.
Bien qu'il n'y ait aucune preuve d'exploitation dans le monde réel, Guardio a souligné l'importance d'équilibrer la commodité de l'utilisateur et la sécurité, soulignant la nécessité de mécanismes de sécurité du navigateur pour empêcher que des vulnérabilités similaires soient exploitées à l’avenir.