Nhà nghiên cứu bảo mật Oleg Zaytsev của Guardio Labs cho biết “lỗ hổng này có thể cho phép kẻ tấn công khai thác một API bí mật để lén lút cài đặt tiện ích bổ sung trên trình duyệt mà người dùng không hề hay biết”.
Có định danh CVE-2024-21388 (điểm CVSS: 6,5), lỗ hổng được mô tả là một lỗi leo thang đặc quyền, đã được Microsoft xử lý trong phiên bản Edge 121.0.2277.83 được phát hành vào ngày 25 tháng 1 năm 2024, sau khi nó được nhà nghiên cứu Zaytsev và Jun Kokatsu báo cáo vào tháng 11 năm 2023.
Trong tư vấn bảo mật cho lỗ hổng, Microsoft cho biết: “Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được các đặc quyền cần thiết để cài đặt tiện ích”, đồng thời nó cũng “có thể dẫn đến việc thoát khỏi sandbox trong trình duyệt”.
Guardio cho biết rằng CVE-2024-21388 cho phép tác nhân đe dọa có khả năng thực thi mã JavaScript trên các trang bing[.]com hoặc microsoft[.]com có thể cài đặt bất kỳ tiện ích nào từ cửa hàng tiện ích của Edge mà không cần có sự đồng ý hoặc tương tác của người dùng.
Điều này có thể thực hiện được do trình duyệt có quyền truy cập vào một số API bí mật cho phép cài đặt bất kỳ tiện ích bổ sung nào nếu nó có trên cửa hàng tiện ích của chính nhà cung cấp. Một trong số các API này là edgeMarketingPagePrivate. API này có thể truy cập được từ một nhóm trang web thuộc danh sách cho phép của Microsoft, bao gồm bing[.]com, microsoft[.]com.
API cũng được đặt trong một phương thức có tên installTheme(), được thiết kế để cài đặt một theme từ cửa hàng Tiện ích của Edge bằng cách nhận giá trị ‘themeId’ (mã định danh của theme ) và tệp manifest của nó làm tham số đầu vào.
Guardio cho biết lỗ hổng này là một trường hợp xác thực không đầy đủ, do đó cho phép kẻ tấn công cung cấp mã định danh của tiện ích (extension identifier) bất kỳ để lén lút cài đặt nó thông qua API này.
Trong một kịch bản tấn công khai thác CVE-2024-21388 giả định, kẻ tấn công có thể xuất bản một tiện ích dường như vô hại vào cửa hàng tiện ích và sử dụng nó để chèn một đoạn mã JavaScript độc hại vào bing[.]com hoặc bất kỳ trang web nào được phép truy cập API và cài đặt tiện ích bất kỳ thông qua API trên.
Zaytsev cho biết: “Những kẻ tấn công có thể lừa người dùng cài đặt một tiện ích có vẻ vô hại mà không nhận ra rằng đây là bước đầu tiên trong một cuộc tấn công phức tạp hơn”. “Lỗ hổng này có thể bị khai thác để tạo điều kiện cho việc cài đặt các tiện ích độc hại”.
Mặc dù chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế, nhưng Guardio nhấn mạnh sự cần thiết của việc cân bằng giữa sự thuận tiện và bảo mật của người dùng cũng như cách các tùy chỉnh của trình duyệt có thể vô tình phá vỡ các cơ chế bảo mật và tạo ra một số bề mặt công mới.
(theo thehackernews.com/tinnhiemmang.vn)