Το πρόγραμμα περιήγησης του Microsoft Edge φαίνεται να έχει σοβαρή ευπάθεια κωδικού πρόσβασης. Πρόσφατες αναφορές αποκαλύπτουν ότι οι εισβολείς ή οι χάκερ θα μπορούσαν να αποκτήσουν εύκολα κωδικό πρόσβασης χρήστη και αρχεία cookie για λογαριασμούς στο διαδίκτυο, ένα θέμα ευπάθειας που ανακαλύφθηκε από τον εμπειρογνώμονα ασφαλείας Manuel Caballero, κάποιον με τεράστια εμπειρία απομάκρυνσης των σφαλμάτων και των ατελειών του Edge και του Internet Explorer.

Οι επιτιθέμενοι μπορούν να παρακάμψουν την προστασία SOP Edge

Το θέμα ευπάθειας επιτρέπει σε έναν εισβολέα να φορτώσει και να εκτελέσει κακόβουλο κώδικα χρησιμοποιώντας URI δεδομένων, ετικέτα ανανέωσης Meta και σελίδες χωρίς τομέα, όπως για παράδειγμα: κενό. Αυτή η τεχνική εκμετάλλευσης έχει πολλές παραλλαγές και ο Caballero έδειξε τους τρόπους με τους οποίους ένας χάκερ θα μπορούσε να εκτελέσει κώδικα σε ιστότοπους υψηλού προφίλ, απλώς παρακάμπτοντας τους χρήστες για πρόσβαση σε μια κακόβουλη διεύθυνση URL.

Ο Caballero παρουσίασε τρία demos στα οποία εκτέλεσε κώδικα στην αρχική σελίδα του Bing, tweeted στο όνομα άλλου χρήστη και έκλεψε τα αρχεία κωδικού πρόσβασης και cookies από λογαριασμό Twitter.

Η τελευταία επίθεση εκθέτει ξανά ένα σφάλμα ασφαλείας στο σχεδιασμό σύγχρονων προγραμμάτων περιήγησης: την ικανότητα του hacker να αποσυνδέει έναν χρήστη, να φορτώνει μια σελίδα σύνδεσης και να κλέβει τα διαπιστευτήρια του χρήστη συμπληρωμένα αυτόματα από τη λειτουργία αυτόματης συμπλήρωσης του κωδικού πρόσβασης του προγράμματος περιήγησης.

Το θέμα ευπάθειας εξακολουθεί να είναι αβάσιμο. Για το λόγο αυτό, η Caballero παρείχε demos για λήψη, ώστε οι χρήστες να μπορούν να ελέγξουν τον πηγαίο κώδικα και να βεβαιωθούν ότι οι κωδικοί πρόσβασης και τα cookie τους δεν μεταφορτώνονται οπουδήποτε.

Οι επιθέσεις αυτοματοποιούνται με malvertising

Φαίνεται επίσης ότι οι επιθέσεις μπορούν να προσαρμοστούν για να απορρίψουν τους κωδικούς πρόσβασης ή τα cookies περισσότερων online υπηρεσιών όπως το Amazon, το Facebook και πολλά άλλα. Μόνο η άκρη επηρεάζεται επειδή "οι παρακάμψεις UXSS / SOP τείνουν να είναι ιδιαίτερες σε κάθε πρόγραμμα περιήγησης ".

Οι σύγχρονες διαφημίσεις παρέχουν κώδικα JavaScript στους περιηγητές και αυτός είναι ο λόγος για τον οποίο οι επιτιθέμενοι μπορούν να διευκολύνουν κακόβουλες διαφημιστικές καμπάνιες για να αυτοματοποιήσουν την παράδοση αυτού του εκμεταλλεύματος σε ένα τεράστιο ποσό θυμάτων.

Για περισσότερες πληροφορίες, μπορείτε να διαβάσετε την τεχνική περιγραφή του θέματος από τον Caballero.