Scoperto un bug in Microsoft Edge che permetteva l’installazione segreta di estensioni dannose. La falla è stata prontamente corretta da Microsoft.
La navigazione in Internet è un’attività che ormai fa parte della routine quotidiana di milioni di persone e la sicurezza dei browser utilizzati è di primaria importanza. Il team di Guardio Labs ha recentemente portato alla luce una vulnerabilità nel browser Microsoft Edge che potrebbe essere sfruttata per installare estensioni maligne sui dispositivi degli utenti senza il loro consenso, con conseguenti inquietanti implicazioni per la privacy e la sicurezza informatica.
Identificata con il codice CVE-2024-21388 e con un punteggio di gravità pari a 6,5 nel Common Vulnerability Scoring System (CVSS), la falla permetteva a un attaccante di bypassare le normali protezioni del browser per installare componenti aggiuntivi non autorizzati. Il rischio era particolarmente elevato perché l’attaccante avrebbe potuto evitare i meccanismi di sandboxing implementati per limitare i danni potenzialmente causati da codice pericoloso.
La falla stessa consisteva in una inadeguata verifica delle procedure di installazione delle estensioni attraverso un’API privata originariamente creata per fini di marketing. A seguito della scoperta e della segnalazione del problema, Microsoft ha prontamente rilasciato una versione aggiornata di Edge che va a sanare questa criticità, con la versione 121.0.2277.83 uscita il 25 gennaio 2024.
L’API in questione, denominata edgeMarketingPagePrivate, si poteva trovare in un insieme ristretto di siti web di proprietà di Microsoft, inclusi bing.com e altri collegati. Tramite questa API, era possibile utilizzare il metodo installTheme() per installare temi dall’archivio dei componenti aggiuntivi Edge usando un identificatore univoco. Tuttavia, il bug permetteva di introdurre qualsiasi ID di estensione, bypassando così le verifiche di sicurezza.
La possibilità di installare un’estensione indesiderata era aggrava ulteriormente dal fatto che l’operazione poteva avvenire senza l’intervento dell’utente finale, aprendo la strada a tentativi di phishing o all’introduzione di malware. L’attacco poteva essere messo in atto mediante l’installazione di un’estensione innocua nell’Edge Store, utilizzata in seguito come trampolino per eseguire azioni dannose.
Questa scoperta mette in evidenza la continua sfida che i produttori di software affrontano nell’assicurare la sicurezza dei propri prodotti contro gli attacchi sempre più sofisticati. È essenziale, per gli utenti, aggiornare regolarmente i propri software e prestare attenzione alle estensioni installate sul proprio browser.
Ecco perché il tema della cyber security è più che mai al centro dell’attenzione sia dei consumatori che delle aziende, con la continua evoluzione delle minacce che richiede una vigilanza costante e soluzioni proattive come quelle offerte da Microsoft.