Een onlangs gepatcht beveiligingsprobleem in Microsoft Edge had ervoor kunnen zorgen dat kwaadwillende actoren heimelijk willekeurige extensies op gebruikers konden installeren’ systemen, mogelijk tot schadelijke acties leiden.
CVE-2024-21388 Uitleg
Ontdekt door Guardio Labs-beveiligingsonderzoeker Oleg Zaytsev en gevolgd als CVE-2024-21388, deze fout zou kunnen worden uitgebuit door gebruik te maken van een privé-API die oorspronkelijk bedoeld was voor marketingdoeleinden. Via verantwoorde openbaarmaking, Microsoft heeft het probleem opgelost in de stabiele Edge-versie 121.0.2277.83 uitgebracht op januari 25, 2024, waarbij Zaytsev en Jun Kokatsu worden gecrediteerd voor het melden ervan.
Als een privilege-escalatiefout, exploitatie van CVE-2024-21388 vereist dat aanvallers vooraf voorbereidende acties ondernemen, om de doelomgeving te manipuleren. Uit Guardio's onderzoek is gebleken dat de kwetsbaarheid kwaadwillenden met JavaScript-uitvoeringsmogelijkheden op bepaalde Microsoft-websites in staat stelt extensies uit de Edge Add-ons-winkel te installeren zonder toestemming van de gebruiker.
Deze exploit maakt gebruik van geprivilegieerde toegang tot specifieke privé-API's, zoals edgeMarketingPagePrivate, toegankelijk via op de witte lijst geplaatste sites van Microsoft, zoals bing.com en microsoft.com. Opmerkelijk, de API bevat een methode genaamd installTheme(), waardoor de installatie van extensies mogelijk wordt gemaakt met behulp van unieke identificatiegegevens zonder gebruikersinteractie.
De fout komt voort uit onvoldoende validatie, waardoor aanvallers beperkingen kunnen omzeilen en heimelijk extensies kunnen installeren. Zajtsev gemarkeerd de mogelijkheid voor aanvallers om het vertrouwen van gebruikers te misbruiken door schadelijke extensies als onschadelijk te vermommen, potentieel leidend tot verdere uitbuiting en financieel gewin.
Hoewel er geen bewijs is van uitbuiting in de echte wereld, Guardio wees op het belang van een evenwicht tussen gebruikersgemak en veiligheid, nadruk op de noodzaak ervan browserbeveiligingsmechanismen om te voorkomen dat soortgelijke kwetsbaarheden in de toekomst worden misbruikt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: