Un error en Microsoft Edge podría haber permitido a los atacantes instalar extensiones maliciosas de forma silenciosa

Luis Quiles
Luis Quiles
browser
Vulnerabilidad, Seguridad de API

Una vulnerabilidad de seguridad ahora parcheada en el navegador web Microsoft Edge podría haber sido abusada para instalar extensiones arbitrarias en los sistemas de los usuarios y llevar a cabo acciones maliciosas.

«Esta vulnerabilidad podría haber permitido a un atacante explotar una API privada, inicialmente destinada a propósitos de marketing, para instalar de manera encubierta extensiones adicionales del navegador con amplios permisos sin el conocimiento del usuario», dijo el investigador de seguridad de Guardio Labs, Oleg Zaytsev, en un nuevo informe compartido con The Hacker News.

Identificada como CVE-2024-21388 (puntuación CVSS: 6.5), fue abordada por Microsoft en la versión estable 121.0.2277.83 de Edge lanzada el 25 de enero de 2024, tras una divulgación responsable en noviembre de 2023. El fabricante de Windows acreditó tanto a Zaytsev como a Jun Kokatsu por informar sobre el problema.

«Un atacante que explotara con éxito esta vulnerabilidad podría obtener los privilegios necesarios para instalar una extensión», dijo Microsoft en un aviso sobre la falla, agregando que «podría provocar una escape del sandbox del navegador».

Describiéndolo como una falla de escalada de privilegios, el gigante tecnológico también enfatizó que una explotación exitosa del error requiere que un atacante «realice acciones adicionales antes de la explotación para preparar el entorno objetivo».

Según los hallazgos de Guardio, CVE-2024-21388 permite que un actor malintencionado con la capacidad de ejecutar JavaScript en las páginas bing[.]com o microsoft[.]com instale cualquier extensión de la tienda de complementos de Edge sin requerir el consentimiento o la interacción del usuario.

Esto es posible debido a que el navegador tiene acceso privilegiado a ciertas API privadas que permiten instalar un complemento siempre que sea de la propia tienda de extensiones del proveedor.

Una de estas API en el navegador Edge basado en Chromium es edgeMarketingPagePrivate, a la que se puede acceder desde un conjunto de sitios web en lista blanca que pertenecen a Microsoft, incluidos bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com y microsoftedgetips.microsoft[.]com, entre otros.

La API también incluye un método llamado installTheme(), que, como su nombre lo indica, está diseñado para instalar un tema de la tienda de complementos de Edge pasando un identificador de tema único («themeId») y su archivo de manifiesto como entrada.

type
install

El error identificado por Guardio es esencialmente un caso de validación insuficiente, lo que permite que un atacante proporcione cualquier identificador de extensión de la tienda (en lugar del themeId) y lo instale de forma sigilosa.

«Como una ventaja adicional, dado que esta instalación de extensión no se realiza exactamente de la manera en que se diseñó originalmente, no habrá necesidad de interacción o consentimiento por parte del usuario», explicó Zaytsev.

En un escenario de ataque hipotético aprovechando CVE-2024-21388, un actor de amenazas podría publicar una extensión aparentemente inofensiva en la tienda de complementos y usarla para inyectar un fragmento de código JavaScript malicioso en bing[.]com, o en cualquiera de los sitios que tienen acceso permitido a la API, y luego instalar una extensión arbitraria de su elección invocando la API utilizando el identificador de la extensión.

En otras palabras, ejecutar la extensión especialmente creada en el navegador Edge y visitar bing[.]com instalará automáticamente la extensión objetivo sin el permiso de la víctima.

Guardio informó a The Hacker News que aunque no hay evidencia de que este error haya sido explotado en la naturaleza, destaca la necesidad de equilibrar la conveniencia del usuario y la seguridad, y cómo las personalizaciones del navegador pueden inadvertidamente desactivar los mecanismos de seguridad e introducir varios nuevos vectores de ataque.

«Es relativamente fácil para los atacantes engañar a los usuarios para que instalen una extensión que parece inofensiva, sin darse cuenta de que sirve como el primer paso en un ataque más complejo», dijo Zaytsev. «Esta vulnerabilidad podría ser explotada para facilitar la instalación de extensiones adicionales, potencialmente con fines de lucro».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Discover The Latest Cyber Security Blog Articles