Ошибка Microsoft Edge могла позволить злоумышленникам незаметно устанавливать вредоносные расширения

[Teacher]

Теперь исправленная ошибка безопасности в веб-браузере Microsoft Edge могла быть использована для установки произвольных расширений в системах пользователей и выполнения вредоносных действий.

"Этот недостаток мог позволить злоумышленнику использовать частный API, изначально предназначенный для маркетинговых целей, для скрытой установки дополнительных расширений браузера с широкими разрешениями без ведома пользователя", - сказал исследователь безопасности Guardio Labs Олег Зайцев в новом отчете, опубликованном в Hacker News.

Отслеживаемая как CVE-2024-21388 (оценка CVSS: 6.5), она была устранена Microsoft в стабильной версии Edge 121.0.2277.83, выпущенной 25 января 2024 года, после ответственного раскрытия в ноябре 2023 года. Производитель Windows поблагодарил Зайцева и Джуна Кокацу за сообщение о проблеме.

"Злоумышленник, успешно воспользовавшийся этой уязвимостью, мог получить привилегии, необходимые для установки расширения", - говорится в сообщении Microsoft в отношении ошибки, добавляя, что это "может привести к выходу из изолированной среды браузера".

Описывая это как недостаток повышения привилегий, технологический гигант также подчеркнул, что успешное использование ошибки требует от злоумышленника "предпринять дополнительные действия перед использованием для подготовки целевой среды".

Согласно выводам Guardio, CVE-2024-21388 позволяет злоумышленнику, имеющему возможность запускать JavaScript на страницах bing [.]com или Microsoft[.] com, устанавливать любые расширения из магазина дополнений Edge, не требуя согласия или взаимодействия пользователя.

Это стало возможным благодаря тому факту, что браузер поставляется с привилегированным доступом к определенным частным API, которые позволяют устанавливать дополнения, если они поставляются с собственного рынка расширений поставщика.

Одним из таких API в браузере Edge на базе Chromium является edgeMarketingPagePrivate, который доступен с ряда веб-сайтов, включенных в список разрешенных, принадлежащих Microsoft, включая bing [.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com и microsoftedgetips.microsoft[.]com, среди прочих.

API также содержит метод под названием installTheme(), который, как следует из названия, предназначен для установки темы из магазина дополнений Edge путем передачи уникального идентификатора темы ("themeId") и ее файла манифеста в качестве входных данных.

Ошибка, выявленная Guardio, по сути, является случаем недостаточной проверки, что позволяет злоумышленнику предоставить любой идентификатор расширения из storefront (в отличие от themeId) и установить его незаметно.

"В качестве дополнительного бонуса, поскольку установка этого расширения выполняется не совсем так, как оно было изначально разработано, не потребуется никакого взаимодействия или согласия пользователя", - пояснил Зайцев.

В гипотетическом сценарии атаки с использованием CVE-2024-21388 субъект угрозы мог опубликовать кажущееся безобидным расширение в хранилище дополнений и использовать его для внедрения фрагмента вредоносного кода JavaScript в bing[.]com - или любой из сайтов, которым разрешен доступ к API – и установить произвольное расширение по своему выбору, вызвав API с использованием идентификатора расширения.

Иными словами, запуск специально созданного расширения в браузере Edge и переход на bing [.] com автоматически установит целевое расширение без разрешения жертвы.

Гвардио сказал The Hacker News, что, хотя нет никаких доказательств того, что эта ошибка использовалась в дикой природе, она подчеркивает необходимость сбалансировать удобство пользователя и безопасность, а также то, как настройки браузера могут непреднамеренно нарушать механизмы безопасности и вводить несколько новых векторов атак.

"Злоумышленникам относительно легко обманом заставить пользователей установить расширение, которое кажется безобидным, не осознавая, что оно служит начальным шагом в более сложной атаке", - сказал Зайцев. "Эта уязвимость могла быть использована для облегчения установки дополнительных расширений, потенциально для получения денежной выгоды".