Lỗ hổng bảo mật trên Microsoft Edge có thể cho phép kẻ tấn công âm thầm cài đặt các tiện ích mở rộng độc hại

Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Microsoft Edge có thể đã bị lạm dụng để cài đặt các tiện ích mở rộng tùy ý trên hệ thống của người dùng và thực hiện các hành động độc hại.

Nhà nghiên cứu bảo mật cho biết “Lỗ hổng này có thể cho phép kẻ tấn công khai thác API riêng tư, ban đầu nhằm mục đích tiếp thị, để ngấm ngầm cài đặt các tiện ích mở rộng trình duyệt bổ sung với quyền rộng rãi mà người dùng không hề hay biết”.

Được theo dõi là CVE-2024-21388 (điểm CVSS: 6,5), nó đã được Microsoft xử lý trong phiên bản ổn định Edge 121.0.2277.83 phát hành vào ngày 25 tháng 1 năm 2024, sau khi tiết lộ có trách nhiệm vào tháng 11 năm 2023. Nhà sản xuất Windows đã ghi nhận cả Zaytsev và Jun Kokatsu vì báo cáo vấn đề.

“Kẻ tấn công khai thác thành công lỗ hổng này có thể có được các đặc quyền cần thiết để cài đặt tiện ích mở rộng”, Microsoft cho biết trong lời khuyên về lỗ hổng này, đồng thời bổ sung thêm rằng nó “có thể dẫn đến việc thoát khỏi hộp cát trình duyệt”.

Mô tả đây là một lỗ hổng leo thang đặc quyền, gã khổng lồ công nghệ cũng nhấn mạnh rằng việc khai thác thành công lỗi đòi hỏi kẻ tấn công phải “thực hiện các hành động bổ sung trước khi khai thác để chuẩn bị môi trường mục tiêu”.

CVE-2024-21388 cho phép kẻ xấu có khả năng chạy JavaScript trên các trang bing[.]com hoặc microsoft[.]com cài đặt bất kỳ tiện ích mở rộng nào từ cửa hàng Edge Add-ons mà không cần có sự đồng ý hoặc tương tác của người dùng .

Điều này có thể thực hiện được nhờ trình duyệt có quyền truy cập đặc quyền vào một số API riêng tư nhất định cho phép cài đặt một tiện ích bổ sung miễn là nó từ thị trường tiện ích mở rộng của chính nhà cung cấp.

Một API như vậy trong trình duyệt Edge dựa trên Chrome là edgeMarketingPagePrivate. API này có thể truy cập được từ một nhóm trang web thuộc danh sách cho phép của Microsoft, bao gồm bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com và microsoftedgetips .microsoft[.]com, trong số những miền khác.

API cũng gói trong một phương thức có tên installTheme(), đúng như tên gọi, được thiết kế để cài đặt một chủ đề từ cửa hàng Tiện ích bổ sung Edge bằng cách chuyển một mã định danh chủ đề duy nhất ("themeId") và tệp kê khai của nó làm đầu vào.

Lỗi được xác định về cơ bản là một trường hợp xác thực không đầy đủ, do đó cho phép kẻ tấn công cung cấp bất kỳ mã nhận dạng tiện ích mở rộng nào từ mặt tiền cửa hàng (trái ngược với themeId) và cài đặt nó một cách lén lút.

Như một phần thưởng bổ sung, vì quá trình cài đặt tiện ích mở rộng này không được thực hiện hoàn toàn theo cách nó được thiết kế ban đầu nên sẽ không cần bất kỳ tương tác hoặc sự đồng ý nào từ người dùng.

Trong một kịch bản tấn công giả định lợi dụng CVE-2024-21388, kẻ tấn công có thể xuất bản một tiện ích mở rộng dường như vô hại vào cửa hàng tiện ích bổ sung và sử dụng nó để tiêm một đoạn mã JavaScript độc hại vào bing[.]com – hoặc bất kỳ trang web nào được phép truy cập API - và cài đặt tiện ích mở rộng tùy ý theo lựa chọn của họ bằng cách gọi API bằng mã định danh tiện ích mở rộng.

Nói cách khác, việc thực thi tiện ích mở rộng được tạo đặc biệt trên trình duyệt Edge và truy cập bing[.]com sẽ tự động cài đặt tiện ích mở rộng được nhắm mục tiêu mà không cần sự cho phép của nạn nhân.

Những kẻ tấn công tương đối dễ dàng lừa người dùng cài đặt một tiện ích mở rộng có vẻ vô hại mà không nhận ra rằng đây là bước đầu tiên trong một cuộc tấn công phức tạp hơn”. “Lỗ hổng này có thể bị khai thác để tạo điều kiện thuận lợi cho việc cài đặt các tiện ích mở rộng bổ sung, có khả năng thu được lợi nhuận”.

Hương – Theo TheHackerNews