En el navegador web Microsoft Edge, una vulnerabilidad ahora corregida podría haber sido aprovechada para instalar extensiones arbitrarias en los sistemas de los usuarios y realizar actividades maliciosas. Según el informe de Guardio Labs, el investigador de seguridad Oleg Zaytsev explicó que esta falla permitía a un atacante utilizar una API privada originalmente destinada para propósitos de marketing, para instalar extensiones adicionales en los navegadores de los usuarios sin su conocimiento.
Identificada como CVE-2024-21388 (con una puntuación CVSS de 6.5), Microsoft solucionó este problema en la versión estable 121.0.2277.83 de Edge, lanzada el 25 de enero de 2024, luego de una divulgación responsable en noviembre de 2023. Tanto Zaytsev como Jun Kokatsu fueron reconocidos por informar sobre esta vulnerabilidad.
Microsoft describió la vulnerabilidad como una falla de escalada de privilegios, señalando que un atacante necesitaría realizar acciones adicionales antes de explotarla para preparar el entorno objetivo. La explotación exitosa de esta vulnerabilidad permitiría a un atacante obtener los privilegios necesarios para instalar una extensión, lo que podría resultar en una fuga del entorno de pruebas del navegador.
Según los análisis de Guardio, CVE-2024-21388 permitía que un actor malintencionado, con la capacidad de ejecutar JavaScript en páginas de dominios específicos como bing.com o microsoft.com, instalara cualquier extensión de la tienda de complementos de Edge sin requerir el consentimiento del usuario. Esto se debía a que el navegador tenía acceso privilegiado a ciertas API privadas, lo que permitía la instalación de extensiones siempre y cuando provinieran del mercado de extensiones del proveedor.
Una de estas APIs, denominada edgeMarketingPagePrivate, era accesible desde una lista permitida de sitios web pertenecientes a Microsoft, como bing.com, microsoft.com, microsoftedgewelcome.microsoft.com y microsoftedgetips.microsoft.com, entre otros. Esta API incluía un método llamado installTheme(), diseñado para instalar temas desde la tienda de complementos de Edge utilizando un identificador de tema único (themeId) y su archivo de manifiesto como entrada.
El hallazgo de Guardio revela esencialmente una deficiencia en la validación, lo que permite que un atacante suministre cualquier identificador de extensión del catálogo (a diferencia del themeId) y la instale sigilosamente.
“Como ventaja adicional, dado que la instalación de esta extensión no sigue el proceso para el cual fue originalmente diseñada, no se requerirá la interacción ni el consentimiento del usuario”, explicó Zaytsev.
En un escenario hipotético de ataque que aproveche CVE-2024-21388, un actor malintencionado podría publicar una extensión aparentemente benigna en la tienda de complementos y utilizarla para insertar un fragmento de código JavaScript malicioso en bing.com, o en cualquier otro sitio que tenga acceso a la API, y así instalar una extensión arbitraria de su elección invocando la API con el identificador de la extensión.
En otras palabras, ejecutar la extensión especialmente diseñada en el navegador Edge y visitar bing.com automáticamente instalará la extensión deseada sin el permiso del usuario.
Guardio informó a The Hacker News que, aunque no hay pruebas de que esta vulnerabilidad haya sido explotada en la naturaleza, destaca la importancia de equilibrar la comodidad y la seguridad del usuario, y cómo las personalizaciones del navegador pueden inadvertidamente anular los mecanismos de seguridad e introducir diversos vectores de ataque nuevos.
“Es relativamente sencillo para los atacantes engañar a los usuarios para que instalen una extensión que parezca inofensiva, sin darse cuenta de que es el primer paso en un ataque más elaborado”, señaló Zaytsev. “Esta vulnerabilidad podría ser explotada para facilitar la instalación de más extensiones, potencialmente con fines de lucro”.