Uma vulnerabilidade de segurança corrigida recentemente no Microsoft Edge poderia ter permitido que agentes mal-intencionados instalassem furtivamente extensões arbitrárias nos usuários’ sistemas, potencialmente levando a ações prejudiciais.
CVE-2024-21388
Descoberto pelo pesquisador de segurança do Guardio Labs, Oleg Zaytsev, e rastreado como CVE-2024-21388, esta falha poderia ser explorada aproveitando uma API privada inicialmente destinada a fins de marketing. Através da divulgação responsável, A Microsoft resolveu o problema na versão estável do Edge 121.0.2277.83 lançado em janeiro 25, 2024, dando crédito a Zaytsev e Jun Kokatsu por reportá-lo.
Como uma falha de escalonamento de privilégios, a exploração do CVE-2024-21388 exige que os invasores tomem ações preparatórias com antecedência, para manipular o ambiente alvo. A investigação de Guardio revelou que a vulnerabilidade permite que atores mal-intencionados com recursos de execução de JavaScript em determinados sites da Microsoft instalem extensões da loja Edge Add-ons sem o consentimento do usuário.
Esta exploração aproveita o acesso privilegiado a APIs privadas específicas, como edgeMarketingPagePrivate, acessível em sites de propriedade da Microsoft na lista de permissões, como bing.com e microsoft.com. Notavelmente, a API inclui um método chamado installTheme(), permitindo a instalação de extensões usando identificadores exclusivos sem interação do usuário.
A falha surge da validação insuficiente, permitindo que invasores contornem restrições e instalem extensões furtivamente. Zaitsev em destaque o potencial dos invasores explorarem a confiança do usuário, disfarçando extensões prejudiciais como inofensivas, potencialmente levando a uma maior exploração e ganho financeiro.
Embora não haja evidências de exploração no mundo real, Guardio destacou a importância de equilibrar a conveniência do usuário com a segurança, enfatizando a necessidade de mecanismos de segurança do navegador para evitar que vulnerabilidades semelhantes sejam exploradas no futuro.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: