Microsoft-Edge-Bug für Angriffe nutzbar
Eine inzwischen behobene Sicherheitslücke im Microsoft-Edge-Webbrowser ist auf gravierende Weise ausnutzbar: Angreifer konnten heimlich beliebige Erweiterungen auf den Computern der Benutzer installieren. Damit waren dem vollen Programm an schädlichen Aktionen Tür und Tor geöffnet.
Sicherheitsexperten von Guardio Labs haben in einem neuen Bericht erklärt: „Der Fehler hätte es einem Angreifer erlauben können, eine private API zu nutzen, die ursprünglich für Marketingzwecke entwickelt wurde, um heimlich zusätzliche Browsererweiterungen mit umfassenden Berechtigungen zu installieren, ohne dass der Benutzer davon weiß.“
Die Sicherheitslücke, die als CVE-2024-21388 mit einem CVSS-Score von 6.5 geführt wird, wurde von Microsoft in der stabilen Edge-Version 121.0.2277.83 behoben, die am 25. Januar 2024 veröffentlicht wurde. Bekannt geworden war sie im November 2023.
Microsoft erklärte in einem Advisory zur Sicherheitslücke: „Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte die erforderlichen Rechte erhalten, um eine Erweiterung zu installieren.“ So sein es durchaus möglich, aus der gesicherten Umgebung einer Browser-Sandbox auszubrechen.
Der Tech-Riese bezeichnete die Schwachstelle als „Privilegienerweiterung“ und betonte, dass ein Angreifer dafür aber zusätzliche vorbereitende Maßnahmen ergreifen muss.
Guardio fand heraus, dass die Schwachstelle es einem Angreifer ermöglicht, über JavaScript auf bing[.]com- oder microsoft[.]com-Seiten jede Erweiterung aus dem Edge Add-on-Store zu installieren – ohne Zustimmung oder Interaktion des Benutzers. Das ist möglich, weil der Browser spezielle private APIs hat, welche die Installation von Add-on erlauben, solange sie aus dem offiziellen Erweiterungsmarktplatz des Anbieters stammen.
Im Chromium basierten Edge-Browser gibt es eine API namens „edgeMarketingPagePrivate“, auf die eine Reihe von Websites mit Erlaubnisliste zugreifen können, die zu Microsoft gehören, wie z.B. bing[.]com, microsoft[.]com, microsoftedgewelcome.microsoft[.]com und microsoftedgetips.microsoft[.]com.
Diese API enthält auch eine Methode namens „installTheme()“, die dazu dient, ein Thema aus dem Edge Add-ons Store zu installieren. Dabei werden eine eindeutige Themenkennung („themeId“) und die zugehörige Manifestdatei als Eingabe übergeben.
Der von Guardio festgestellte Fehler besteht hauptsächlich darin, dass eine unzureichende Validierung stattfindet, was es einem Angreifer ermöglicht, beliebige Erweiterungskennungen aus dem Store (anstatt der themeId) anzugeben und sie heimlich zu installieren.
„Ein weiterer Vorteil für den Angreifer ist, dass die Installation der Erweiterung nicht auf die übliche Weise erfolgt, für die sie ursprünglich gedacht war, wodurch keine Interaktion oder Zustimmung des Benutzers erforderlich ist“, so die Forscher.
In einem hypothetischen Angriffsszenario, in dem CVE-2024-21388 ausgenutzt wird, könnte ein Angreifer eine harmlos aussehende Erweiterung im Add-ons-Store veröffentlichen und sie verwenden, um bösartigen JavaScript-Code in bing[.]com – oder jeder anderen Website, die auf die API zugreifen darf – einzufügen und eine beliebige Erweiterung seiner Wahl zu installieren. Dazu muss er nur die API mit der Erweiterungskennung aufrufen.
Mit anderen Worten: Wenn die speziell gestaltete Erweiterung im Edge-Browser ausgeführt wird und bing[.]com aufgerufen wird, wird die gewünschte Erweiterung automatisch und ohne Zustimmung des Opfers installiert.
Guardio betonte, dass es bisher keine Beweise dafür gibt, dass dieser Fehler in der realen Welt ausgenutzt wurde. Dennoch hebt das Unternehmen die Bedeutung hervor, ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu finden. Er zeigt auf, wie Anpassungen im Browser unbeabsichtigt Sicherheitsmaßnahmen umgehen können und neue Angriffswege eröffnen.
„Es ist für Angreifer ziemlich einfach, Benutzer dazu zu bringen, scheinbar harmlose Erweiterungen zu installieren, ohne zu wissen, dass sie als Basis für einen komplexen Angriff dienen können“, sagten die Forscher. „Diese Schwachstelle könnte ausgenutzt werden, um die Installation weiterer Erweiterungen zu erleichtern, möglicherweise mit dem Ziel finanziellen Gewinns.“