Una vulnerabilità di sicurezza recentemente corretta in Microsoft Edge avrebbe potuto consentire ad autori malintenzionati di installare di nascosto estensioni arbitrarie sugli utenti’ sistemi, potenzialmente portare ad azioni dannose.
CVE-2024-21388 Spiegato
Scoperto dal ricercatore di sicurezza di Guardio Labs Oleg Zaytsev e tracciato come CVE-2024-21388, questa falla potrebbe essere sfruttata sfruttando un'API privata inizialmente destinata a scopi di marketing. Attraverso una divulgazione responsabile, Microsoft ha risolto il problema nella versione stabile di Edge 121.0.2277.83 rilasciato a gennaio 25, 2024, attribuendo a Zaytsev e Jun Kokatsu il merito di averlo segnalato.
Come un difetto di escalation dei privilegi, lo sfruttamento di CVE-2024-21388 richiede agli aggressori di intraprendere azioni preparatorie in anticipo, per manipolare l’ambiente di destinazione. L'indagine di Guardio ha rivelato che la vulnerabilità consente ai malintenzionati con funzionalità di esecuzione JavaScript su alcuni siti Web Microsoft di installare estensioni dallo store dei componenti aggiuntivi Edge senza il consenso dell'utente.
Questo exploit sfrutta l'accesso privilegiato a specifiche API private, come edgeMarketingPagePrivate, accessibile da siti di proprietà di Microsoft autorizzati come bing.com e microsoft.com. In particolare, l'API include un metodo chiamato installTheme(), consentendo l'installazione di estensioni utilizzando identificatori univoci senza l'interazione dell'utente.
Il difetto deriva da una convalida insufficiente, consentendo agli aggressori di aggirare le restrizioni e installare estensioni di nascosto. Zaytsev evidenziato la possibilità che gli aggressori sfruttino la fiducia degli utenti camuffando estensioni dannose come innocue, potenzialmente portando a ulteriore sfruttamento e guadagno finanziario.
Sebbene non ci siano prove di sfruttamento nel mondo reale, Guardio ha sottolineato l'importanza di bilanciare la comodità dell'utente con la sicurezza, sottolineando la necessità di meccanismi di sicurezza del browser per evitare che vulnerabilità simili vengano sfruttate in futuro.