Ê nhảy giật mình chưa! Một lỗ hổng khá kinh trên Microsoft Edge (đã được vá rồi nha) vừa được các researcher bóc phốt. Nó có thể cho phép hacker lợi dụng để cài đặt tùy ý các extension độc hại lên trình duyệt của bạn mà bạn chả biết gì luôn
Anh Oleg Zaytsev đến từ Guardio Labs cho biết: "Lỗ hổng này cho phép kẻ tấn công khai thác một API bí mật để lén lút cài đặt tiện ích bổ sung trên trình duyệt mà người dùng không hề hay biết". Nghe mà run á!
Lỗ hổng này được đặt tên code là CVE-2024-21388 (điểm CVSS: 6,5), là một lỗi leo thang đặc quyền nghiêm trọng đó. May mà Microsoft đã fix nó trong phiên bản Edge 121.0.2277.83 ra mắt ngày 25 tháng 1 năm 2024, sau khi anh Zaytsev và Jun Kokatsu báo cáo từ tháng 11 năm 2023.
Theo tài liệu bảo mật của Microsoft: "Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được các đặc quyền cần thiết để cài đặt tiện ích", và còn nguy hơn là "có thể dẫn đến việc thoát khỏi sandbox trong trình duyệt" nữa
## Cơ chế khai thác nguy hiểm như nào?
Guardio giải thích rằng CVE-2024-21388 cho phép hacker nếu có khả năng thực thi mã JavaScript trên các trang bing[.]com hoặc microsoft[.]com thì có thể cài đặt bất kỳ extension nào từ cửa hàng tiện ích của Edge mà không cần sự đồng ý hay tương tác gì của người dùng cả. Khủng không nè!
Nguyên nhân là do trình duyệt có quyền truy cập vào một số API bí mật cho phép cài đặt bất kỳ tiện ích bổ sung nào nếu nó có trên cửa hàng tiện ích chính thức. Một trong những API này là **edgeMarketingPagePrivate**. API này chỉ truy cập được từ một nhóm trang web trong danh sách trắng của Microsoft, bao gồm bing[.]com, microsoft[.]com.
API này được đặt trong một phương thức có tên **installTheme()**, được thiết kế để cài đặt theme từ cửa hàng Tiện ích của Edge bằng cách nhận giá trị 'themeId' (mã định danh của theme) và tệp manifest của nó làm tham số đầu vào.
Guardio cho biết đây là trường hợp xác thực không đầy đủ, nên hacker có thể cung cấp mã định danh của bất kỳ extension nào để lén lút cài đặt nó thông qua API này. Khoảng trống là đây! ️
## Kịch bản tấn công giả định
Trong một kịch bản tấn công khai thác CVE-2024-21388 giả định, hacker có thể:
1. Xuất bản một tiện ích trông có vẻ vô hại vào cửa hàng tiện ích
2. Sử dụng nó để chèn đoạn mã JavaScript độc hại vào bing[.]com hoặc bất kỳ trang web nào được phép truy cập API
3. Cài đặt extension bất kỳ thông qua API trên
Anh Zaytsev nhận xét: "Những kẻ tấn công có thể lừa người dùng cài đặt một tiện ích có vẻ vô hại mà không nhận ra rằng đây là bước đầu tiên trong một cuộc tấn công phức tạp hơn. Lỗ hổng này có thể bị khai thác để tạo điều kiện cho việc cài đặt các tiện ích độc hại".
## Rút kinh nghiệm gì từ sự cố này?
Mặc dù chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác ngoài đời thực, nhưng Guardio nhấn mạnh sự cần thiết của việc cân bằng giữa sự thuận tiện và bảo mật của người dùng. Đồng thời cũng cho thấy cách các tùy chỉnh của trình duyệt có thể vô tình phá vỡ các cơ chế bảo mật và tạo ra những bề mặt tấn công mới.
Nguồn: soha.vn
Anh Oleg Zaytsev đến từ Guardio Labs cho biết: "Lỗ hổng này cho phép kẻ tấn công khai thác một API bí mật để lén lút cài đặt tiện ích bổ sung trên trình duyệt mà người dùng không hề hay biết". Nghe mà run á!
Lỗ hổng này được đặt tên code là CVE-2024-21388 (điểm CVSS: 6,5), là một lỗi leo thang đặc quyền nghiêm trọng đó. May mà Microsoft đã fix nó trong phiên bản Edge 121.0.2277.83 ra mắt ngày 25 tháng 1 năm 2024, sau khi anh Zaytsev và Jun Kokatsu báo cáo từ tháng 11 năm 2023.
Theo tài liệu bảo mật của Microsoft: "Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được các đặc quyền cần thiết để cài đặt tiện ích", và còn nguy hơn là "có thể dẫn đến việc thoát khỏi sandbox trong trình duyệt" nữa
## Cơ chế khai thác nguy hiểm như nào?
Guardio giải thích rằng CVE-2024-21388 cho phép hacker nếu có khả năng thực thi mã JavaScript trên các trang bing[.]com hoặc microsoft[.]com thì có thể cài đặt bất kỳ extension nào từ cửa hàng tiện ích của Edge mà không cần sự đồng ý hay tương tác gì của người dùng cả. Khủng không nè!
Nguyên nhân là do trình duyệt có quyền truy cập vào một số API bí mật cho phép cài đặt bất kỳ tiện ích bổ sung nào nếu nó có trên cửa hàng tiện ích chính thức. Một trong những API này là **edgeMarketingPagePrivate**. API này chỉ truy cập được từ một nhóm trang web trong danh sách trắng của Microsoft, bao gồm bing[.]com, microsoft[.]com.
API này được đặt trong một phương thức có tên **installTheme()**, được thiết kế để cài đặt theme từ cửa hàng Tiện ích của Edge bằng cách nhận giá trị 'themeId' (mã định danh của theme) và tệp manifest của nó làm tham số đầu vào.
Guardio cho biết đây là trường hợp xác thực không đầy đủ, nên hacker có thể cung cấp mã định danh của bất kỳ extension nào để lén lút cài đặt nó thông qua API này. Khoảng trống là đây! ️
## Kịch bản tấn công giả định
Trong một kịch bản tấn công khai thác CVE-2024-21388 giả định, hacker có thể:
1. Xuất bản một tiện ích trông có vẻ vô hại vào cửa hàng tiện ích
2. Sử dụng nó để chèn đoạn mã JavaScript độc hại vào bing[.]com hoặc bất kỳ trang web nào được phép truy cập API
3. Cài đặt extension bất kỳ thông qua API trên
Anh Zaytsev nhận xét: "Những kẻ tấn công có thể lừa người dùng cài đặt một tiện ích có vẻ vô hại mà không nhận ra rằng đây là bước đầu tiên trong một cuộc tấn công phức tạp hơn. Lỗ hổng này có thể bị khai thác để tạo điều kiện cho việc cài đặt các tiện ích độc hại".
## Rút kinh nghiệm gì từ sự cố này?
Mặc dù chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác ngoài đời thực, nhưng Guardio nhấn mạnh sự cần thiết của việc cân bằng giữa sự thuận tiện và bảo mật của người dùng. Đồng thời cũng cho thấy cách các tùy chỉnh của trình duyệt có thể vô tình phá vỡ các cơ chế bảo mật và tạo ra những bề mặt tấn công mới.
Nguồn: soha.vn