Μια ευπάθεια στον Microsoft Edge, η οποία έχει διορθωθεί, θα μπορούσε χρησιμοποιηθεί από κυβερνοεγκληματίες για την εγκατάσταση κακόβουλων επεκτάσεων στα συστήματα των χρηστών.
“Η ευπάθεια θα μπορούσε να είχε επιτρέψει σε έναν εισβολέα να εκμεταλλευτεί ένα ιδιωτικό API, το οποίο αρχικά προοριζόταν για σκοπούς μάρκετινγκ, για να εγκαταστήσει κρυφά πρόσθετες επεκτάσεις με ευρείες άδειες, χωρίς τη γνώση του χρήστη“, δήλωσε ο ερευνητής ασφαλείας της Guardio Labs, Oleg Zaytsev.
Η ευπάθεια παρακολουθείται ως CVE-2024-21388 και διορθώθηκε στη σταθερή έκδοση Edge 121.0.2277.83, τον Ιανουάριο.
Δείτε επίσης: Google: Διόρθωσε δύο zero-day ευπάθειες στο Chrome
Η επιτυχής εκμετάλλευση της ευπάθειας επιτρέπει σε έναν εισβολέα να αποκτήσει τα προνόμια που απαιτούνται, για την εγκατάσταση μιας επέκτασης στον Microsoft Edge.
Περιγράφοντάς το ως σφάλμα που επιτρέπει την κλιμάκωση προνομίων, η εταιρεία τόνισε επίσης ότι η επιτυχής εκμετάλλευση απαιτεί από έναν εισβολέα να κάνει κάποια πράγματα για να προετοιμάσει το περιβάλλον στόχο.
Σύμφωνα με τα ευρήματα της Guardio, η ευπάθεια του Microsoft Edge επιτρέπει σε έναν κακόβουλο χρήστη, με δυνατότητα να εκτελεί JavaScript σε σελίδες bing[.]com ή microsoft[.]com, να εγκαταστήσει επεκτάσεις από το κατάστημα πρόσθετων Edge, χωρίς τη συναίνεση ή την αλληλεπίδραση του χρήστη.
Αυτό επιτρέπεται, επειδή το πρόγραμμα περιήγησης προσφέρει προνομιακή πρόσβαση σε ορισμένα ιδιωτικά API, που καθιστούν δυνατή την εγκατάσταση ενός πρόσθετου, εφόσον προέρχεται από το extension marketplace του ίδιου του προμηθευτή.
Ένα τέτοιο API στο πρόγραμμα περιήγησης Edge είναι το edgeMarketingPagePrivate, το οποίο είναι προσβάσιμο από ένα σύνολο allowlisted websites που ανήκουν στη Microsoft, συμπεριλαμβανομένων των bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com και microsoftedgetips .microsoft[.]com.
Η ευπάθεια σχετίζεται με ανεπαρκή επικύρωση, που επιτρέπει σε έναν εισβολέα να παρέχει οποιοδήποτε extension identifier από το storefront και να το εγκαταστήσει κρυφά.
Δείτε επίσης: CISA: Πρόσθεσε τρεις νέες ευπάθειες στον κατάλογο KEV
“Καθώς αυτή η εγκατάσταση επέκτασης δεν γίνεται με τον τρόπο για τον οποίο σχεδιάστηκε αρχικά, δεν θα υπάρχει ανάγκη για οποιαδήποτε αλληλεπίδραση ή συναίνεση από τον χρήστη“, εξήγησε ο Zaytsev.
Σε ένα υποθετικό σενάριο επίθεσης, ένας επιτιθέμενος θα μπορούσε να δημοσιεύσει μια φαινομενικά νόμιμη επέκταση στο κατάστημα πρόσθετων και να τη χρησιμοποιήσει για να εισάγει ένα κομμάτι κακόβουλου κώδικα JavaScript στο bing[.]com – ή σε οποιονδήποτε από τους ιστότοπους που επιτρέπεται να έχουν πρόσβαση στο API. Στη συνέχεια, θα είναι σε θέση να εγκαταστήσει μια επέκταση. Με άλλα λόγια, η εκτέλεση της ειδικά διαμορφωμένης επέκτασης στο πρόγραμμα περιήγησης Edge και η μετάβαση στο bing[.]com, θα εγκαταστήσει αυτόματα τη στοχευμένη επέκταση χωρίς την άδεια του θύματος.
Προστασία
Προς το παρόν, δεν έχουν παρατηρηθεί τέτοιες επιθέσεις. Ωστόσο, είναι πολύ σημαντικό για τους χρήστες να εφαρμόσουν τις ενημερώσεις που διορθώνουν την εν λόγω ευπάθεια του Microsoft Edge και να είναι προσεκτικοί, για να παρατηρούν ύποπτες δραστηριότητες. Η εγκατάσταση των τελευταίων ενημερώσεων ασφαλείας μπορεί να βοηθήσει στην προστασία από παρόμοιες απειλές.
Δείτε επίσης: Κινέζοι hackers παραβιάζουν δίκτυα μέσω ευπαθειών ScreenConnect και F5 BIG-IP
Η χρήση ενός αξιόπιστου προγράμματος antivirus μπορεί να προσφέρει επιπλέον προστασία. Αυτά τα προγράμματα μπορούν να ανιχνεύσουν και να απομακρύνουν τυχόν κακόβουλο λογισμικό που ενδέχεται να έχει εγκατασταθεί.
Τέλος, η εκπαίδευση σε θέματα ασφάλειας στο διαδίκτυο είναι ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την ψηφιακή ασφάλεια και να γνωρίζουν πώς να αναγνωρίζουν και να αποφεύγουν τις απάτες.
Πηγή: thehackernews.com