En plus d'afficher aux utilisateurs de Chrome une fenêtre contextuelle pour passer à Microsoft Edge, il s'avère que la société s'efforce également de corriger les bugs et failles de sécurité connus du navigateur et du système qui lui est associé. Le géant de la technologie vient de corriger une mise à jour problématique de son navigateur Edge, qui causait de nombreux problèmes aux utilisateurs. Cependant, il s’avère qu’il y a plus et celui-ci pourrait être grave.
Un bug récemment corrigé dans Microsoft Edge permettait à des attaquants potentiels d'installer des extensions sur le système de l'utilisateur. Et cela pourrait se produire sans aucune interaction de la part de l’utilisateur. Il pourrait notamment être exploité à des fins financières ou à d’autres fins.
Traquée sous le numéro CVE-2024-21388, cette vulnérabilité a été révélée pour la première fois par le chercheur en sécurité de Guardio Labs, Oleg Zaytsev, qui a souligné son potentiel d'exploitation malveillante.
Des attaquants auraient pu utiliser le bug de Microsoft Edge pour installer une extension en exploitant une API privée
Les chercheurs ont corrigé la faille de sécurité dans la version stable 121.0.2277.83 de Microsoft Edge publiée le 25 janvier 2024. Des acteurs malveillants auraient pu exploiter cette faille pour exploiter une API privée initialement destinée à des fins de marketing. Cette API pourrait permettre aux attaquants d'installer des extensions de navigateur avec des autorisations étendues, ce qui pourrait conduire à une fuite du bac à sable du navigateur.
La vulnérabilité, si elle avait été exploitée avec succès, aurait pu permettre aux attaquants d'obtenir les privilèges nécessaires pour installer des extensions sur les systèmes des utilisateurs sans leur consentement. Un attaquant pourrait y parvenir en exploitant une API privée dans le navigateur Edge basé sur Chromium. Il aurait accordé un accès privilégié à une liste de sites Web, notamment Bing et Microsoft.
En exécutant JavaScript sur ces pages, les attaquants pourraient installer des extensions à partir de la boutique Edge Add-ons. Cela ne nécessitera aucune interaction de la part de l’utilisateur. Le bug dans Microsoft Edge provenait essentiellement d’une validation insuffisante. Cela pourrait permettre aux attaquants de fournir n’importe quel identifiant d’extension depuis la vitrine et de l’installer furtivement.
L'impact potentiel de cette vulnérabilité est important, car elle aurait pu faciliter l'installation d'extensions malveillantes supplémentaires. Dans un scénario d’attaque hypothétique, les acteurs malveillants pourraient non seulement publier des extensions apparemment inoffensives dans la boutique de modules complémentaires, mais également les exploiter pour injecter du code JavaScript malveillant dans des sites légitimes. Par la suite, les utilisateurs visitant ces sites verraient sans le savoir les extensions ciblées installées sur leur navigateur sans leur consentement.
Heureusement, il n'y a aucune trace d'une exploitation réussie
Heureusement, il n’existe aucune preuve d’une exploitation réussie de cette faille de sécurité. Les personnalisations du navigateur visent à améliorer l'expérience utilisateur. Cependant, ils peuvent introduire par inadvertance de nouveaux vecteurs d’attaque et cette faille de sécurité enregistrée en est un parfait exemple. Comme l'a souligné Oleg Zaytsev de Guardio Labs, les attaquants peuvent facilement inciter les utilisateurs à installer des extensions apparemment inoffensives, ce qui pourrait servir de première étape dans une attaque plus complexe.
