Abgesehen davon, dass Chrome-Benutzern ein Popup zum Umstieg auf Microsoft Edge angezeigt wird, ist das Unternehmen offenbar auch bestrebt, bekannte Fehler und Sicherheitslücken des Browsers und des damit verbundenen Systems zu beheben. Der Technologieriese hat gerade ein früheres fehlerhaftes Update seines Edge-Browsers behoben, das den Benutzern zahlreiche Probleme bereitete. Es stellt sich jedoch heraus, dass es noch mehr gibt und dieses spezielle Problem schwerwiegend sein könnte.
Ein kürzlich behobener Fehler in Microsoft Edge ermöglichte es potenziellen Angreifern, Erweiterungen auf dem System des Benutzers zu installieren. Und es könnte ohne jegliche Interaktion des Benutzers geschehen. Insbesondere könnte es zu finanziellen Zwecken oder für andere Zwecke ausgenutzt werden.
Diese Schwachstelle mit der Bezeichnung CVE-2024-21388 wurde zunächst vom Guardio Labs-Sicherheitsforscher Oleg Zaytsev aufgedeckt, der ihr Potenzial für böswillige Ausnutzung hervorhob.
Angreifer hätten den Microsoft Edge-Bug nutzen können, um eine Erweiterung zu installieren, indem sie eine private API ausnutzten
Forscher haben die Sicherheitslücke in der stabilen Version 121.0.2277.83 von Microsoft Edge behoben, die am 25. Januar 2024 veröffentlicht wurde. Kriminelle könnten die Lücke ausgenutzt haben, um eine private API auszunutzen, die ursprünglich für Marketingzwecke gedacht war. Diese API könnte es Angreifern ermöglichen, Browsererweiterungen mit umfassenden Berechtigungen zu installieren, was zu einem Browser-Sandbox-Fluchtversuch führen könnte.
Bei erfolgreicher Ausnutzung der Schwachstelle hätte es Angreifern möglich sein können, sich die erforderlichen Berechtigungen zu verschaffen, um ohne deren Zustimmung Erweiterungen auf den Systemen der Benutzer zu installieren. Ein Angreifer könnte dies erreichen, indem er eine private API im Chromium-basierten Edge-Browser ausnutzt. Berichten zufolge gewährte es privilegierten Zugriff auf eine Liste von Websites, darunter Bing und Microsoft.
Durch die Ausführung von JavaScript auf diesen Seiten könnten Angreifer Erweiterungen aus dem Edge Add-ons Store installieren. Es ist keine Interaktion des Benutzers erforderlich. Der Fehler in Microsoft Edge war im Wesentlichen auf eine unzureichende Validierung zurückzuführen. Dies könnte es Angreifern ermöglichen, jede beliebige Erweiterungskennung aus der Storefront bereitzustellen und diese heimlich zu installieren.
Die potenziellen Auswirkungen dieser Sicherheitslücke sind erheblich, da sie die Installation zusätzlicher bösartiger Erweiterungen hätte erleichtern können. In einem hypothetischen Angriffsszenario könnten Bedrohungsakteure nicht nur scheinbar harmlose Erweiterungen im Add-on-Store veröffentlichen, sondern diese auch nutzen, um bösartigen JavaScript-Code in legitime Websites einzuschleusen. Anschließend würden Benutzer, die diese Websites besuchen, unwissentlich und ohne ihre Zustimmung die gezielten Erweiterungen in ihren Browsern installieren.
Glücklicherweise gibt es keine Aufzeichnungen über eine erfolgreiche Ausbeutung
Glücklicherweise gibt es keine Hinweise auf eine erfolgreiche Ausnutzung dieser Sicherheitslücke. Browseranpassungen zielen darauf ab, das Benutzererlebnis zu verbessern. Allerdings können sie unbeabsichtigt neue Angriffsvektoren einführen, und diese aufgezeichnete Sicherheitslücke ist ein perfektes Beispiel dafür. Wie Oleg Zaytsev von Guardio Labs betonte, können Angreifer Benutzer leicht dazu verleiten, scheinbar harmlose Erweiterungen zu installieren, die als erster Schritt in einem komplexeren Angriff dienen könnten.