Bug de Microsoft Edge permitió la recopilación de datos a través de extensiones

Además de mostrar a los usuarios de Chrome un popup para cambiar a Microsoft Edge, resulta que la empresa también está esforzándose por solucionar errores conocidos y fallas de seguridad del navegador y el sistema asociado. El gigante tecnológico acaba de corregir una actualización anterior problemática de su navegador Edge, que estaba causando numerosos problemas a los usuarios. Sin embargo, resulta que hay más y este en particular podría ser grave.

Un fallo recientemente parcheado en Microsoft Edge permitía a posibles atacantes instalar extensiones en el sistema del usuario. Y podría ocurrir sin ninguna interacción por parte del usuario. Es importante destacar que podría ser explotado con fines de lucro u otros propósitos.

Rastreado como CVE-2024-21388, esta vulnerabilidad fue revelada por primera vez por el investigador de seguridad de Guardio Labs, Oleg Zaytsev, quien destacó su potencial para explotación maliciosa.

Los atacantes podrían haber utilizado el fallo de Microsoft Edge para instalar una extensión aprovechando una API privada

Los investigadores abordaron la falla de seguridad en la versión estable de Microsoft Edge 121.0.2277.83 lanzada el 25 de enero de 2024. Los actores malignos podrían haber explotado la falla para aprovechar una API privada originalmente destinada a fines de marketing. Esta API podría permitir a los atacantes instalar extensiones de navegador con amplios permisos, lo que podría conducir a un escape del sandbox del navegador.

La vulnerabilidad, si se explotaba con éxito, podría haber permitido a los atacantes obtener los privilegios necesarios para instalar extensiones en los sistemas de los usuarios sin su consentimiento. Un atacante podría lograrlo explotando una API privada en el navegador Edge basado en Chromium. Al parecer, otorgaba acceso privilegiado a una lista de sitios web, incluidos Bing y Microsoft.

LEAR  Mantente al tanto de las tareas del proyecto, presupuesto y más con una licencia de Microsoft Project de $20.

Al ejecutar JavaScript en estas páginas, los atacantes podrían instalar extensiones desde la tienda de complementos de Edge. No requeriría ninguna interacción por parte del usuario. El fallo en Microsoft Edge básicamente provenía de una validación insuficiente. Podría permitir a los atacantes proporcionar cualquier identificador de extensión desde la tienda y instalarlo sigilosamente.

El impacto potencial de esta vulnerabilidad es significativo, ya que podría haber facilitado la instalación de extensiones maliciosas adicionales. En un escenario de ataque hipotético, los actores amenazantes no solo podrían publicar extensiones aparentemente inofensivas en la tienda de complementos, sino también aprovecharlas para inyectar código JavaScript malicioso en sitios legítimos. Posteriormente, los usuarios que visitan estos sitios tendrían instaladas sin saberlo las extensiones objetivo en sus navegadores sin su consentimiento.

Afortunadamente, no hay registro de una explotación exitosa

Afortunadamente, no hay evidencia de una explotación exitosa de esta falla de seguridad. Las personalizaciones del navegador buscan mejorar la experiencia del usuario. Sin embargo, pueden introducir involuntariamente nuevos vectores de ataque y esta falla de seguridad registrada es un ejemplo perfecto de eso. Como enfatizó Oleg Zaytsev de Guardio Labs, los atacantes pueden engañar fácilmente a los usuarios para que instalen extensiones aparentemente inofensivas, lo que podría servir como el primer paso en un ataque más complejo.