Một lỗ hổng bảo mật đã được vá trong trình duyệt web Microsoft Edge có thể đã bị lạm dụng để cài đặt các tiện ích mở rộng tùy ý trên hệ thống của người dùng và thực hiện các hành động độc hại.
“Lỗ hổng này có thể cho phép kẻ tấn công lợi dụng một API riêng tư, ban đầu được dùng cho mục đích tiếp thị, để lén cài đặt các tiện ích mở rộng trình duyệt bổ sung với nhiều quyền hạn mà người dùng không hề hay biết”, nhà nghiên cứu an ninh của Guardio Labs, Oleg Zaytsev nói trong một báo cáo mới của mình.
Được định danh CVE-2024-21388 (điểm CVSS: 6.5), nó đã được xử lý bởi Microsoft trong phiên bản ổn định Edge 121.0.2277.83 được phát hành vào ngày 25 tháng 1 năm 2024, sau khi được tiết lộ vào tháng 11 năm 2023.
“Một kẻ tấn công thành công trong việc lợi dụng lỗ hổng này có thể có được các đặc quyền cần thiết để cài đặt một tiện ích mở rộng,” Microsoft nói trong một cảnh báo về lỗ hổng này và nói thêm rằng “có thể dẫn đến việc thoát khỏi sandbox của trình duyệt.”
Mô tả đây là một lỗ hổng leo thang đặc quyền, gã khổng lồ công nghệ cũng nhấn mạnh rằng việc khai thác thành công lỗi sẽ yêu cầu kẻ tấn công phải “thực hiện các hành động bổ sung trước khi khai thác để chuẩn bị môi trường mục tiêu.”
Theo những phát hiện của Guardio, CVE-2024-21388 cho phép một kẻ xấu với khả năng chạy JavaScript trên các trang bing[.]com hoặc microsoft[.]com cài đặt bất kỳ tiện ích mở rộng nào từ cửa hàng Add-ons của Edge mà không cần sự đồng ý hoặc tương tác của người dùng.
Điều này có thể thực hiện được nhờ trình duyệt có quyền truy cập đặc quyền vào một số API riêng tư nhất định cho phép cài đặt một tiện ích bổ sung miễn là nó từ kho tiện ích mở rộng của chính nhà cung cấp.
Một trong những API như vậy trong trình duyệt Edge dựa trên Chromium là edgeMarketingPagePrivate, có thể truy cập từ một tập hợp các trang web được phê duyệt thuộc sở hữu của Microsoft, bao gồm bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com và microsoftedgetips.microsoft[.]com.
API cũng gói trong một phương thức có tên installTheme(), đúng như tên gọi, được thiết kế để cài đặt một chủ đề từ cửa hàng tiện ích bổ sung Edge bằng cách chuyển một mã định danh chủ đề duy nhất (‘themeId’) và tệp kê khai của nó làm đầu vào.
Lỗi được xác định bởi Guardio về cơ bản là một trường hợp của việc kiểm tra không đủ, do đó cho phép một kẻ tấn công cung cấp bất kỳ mã định danh tiện ích mở rộng nào từ cửa hàng (so với themeId) và cài đặt nó một cách lén lút.
Zaytsev giải thích: “Như một phần thưởng bổ sung, vì quá trình cài đặt tiện ích mở rộng này không được thực hiện hoàn toàn theo cách nó được thiết kế ban đầu nên sẽ không cần bất kỳ sự tương tác hoặc đồng ý nào từ người dùng”.
Trong một kịch bản tấn công giả định sử dụng CVE-2024-21388, một đối tượng đe dọa có thể xuất bản một tiện ích mở rộng dường như vô hại lên cửa hàng tiện ích mở rộng và sử dụng nó để chèn một đoạn mã JavaScript độc hại vào bing[.]com – hoặc bất kỳ trang web nào được phép truy cập vào API – và cài đặt một tiện ích mở rộng tùy ý của họ bằng cách gọi API bằng mã định danh tiện ích mở rộng.
Nói cách khác, việc thực thi tiện ích mở rộng được tạo ra đặc biệt trên trình duyệt Edge và điều hướng đến bing[.]com sẽ tự động cài đặt tiện ích mở rộng nhắm mục tiêu mà không cần sự cho phép của nạn nhân.
Guardio cho biết rằng mặc dù không có bằng chứng nào về việc lỗ hổng này được khai thác trong thực tế, nhưng điều này nhấn mạnh nhu cầu cân bằng giữa tiện ích cho người dùng và bảo mật, và cách tùy chỉnh trình duyệt có thể vô tình phá vỡ các cơ chế bảo mật và giới thiệu một số lỗ hổng tấn công mới.
Zaytsev cho biết: “Những kẻ tấn công tương đối dễ dàng lừa người dùng cài đặt một tiện ích mở rộng có vẻ vô hại mà không nhận ra rằng nó đóng vai trò là bước đầu tiên trong một cuộc tấn công phức tạp hơn”. ‘Lỗ hổng này có thể bị khai thác để tạo điều kiện thuận lợi cho việc cài đặt các tiện ích mở rộng bổ sung, có khả năng thu được lợi nhuận.”
