Nieuws

Microsoft Edge-extensies konden ongemerkt data verzamelen

Edge
Een kwetsbaarheid in Microsoft Edge maakte het mogelijk dat hackers zonder enige interactie van gebruikers extensies konden installeren. Via die extensies konden ze gevoelige data verzamelen.

Onderzoekers van Guardio Labs ontdekten de bug in Microsoft Edge-versie 121.0.2277.83. Via die Edge-versie konden aanvallers ongezien extensies installeren op de pc’s van slachtoffers en hiermee gevoelige data verzamelen. Normaliter moeten gebruikers toestemming geven voor het installeren van extensies. Een kwetsbaarheid in een private API voor marketingdoeleinden zou echter misbruikt kunnen worden om die vereiste te ontwijken, melden de onderzoekers.

Kwaadaardige extensies

Via die API zouden de aanvallers ook toegang krijgen tot verregaande rechten. Dit zou er zelfs toe kunnen leiden dat er een browser-sandbox-ontsnapping plaatsvindt. Het misbruiken van het lek is volgens de onderzoekers relatief simpel. De private API geeft aanvallers namelijk ‘privileged toegang’ tot sites zoals Bing en Microsoft. Door JavaScript te injecteren in deze websites, zou het mogelijk zijn eender welke extensie uit de Edge Add-on-winkel te installeren – zonder toestemming van de gebruiker.

Het lek zou zodoende de installatie van kwaadaardige extensies mogelijk maken. Zulke extensies kunnen browsegegevens verzamelen. Guardio Labs stelt dat de kwetsbaarheid ook misbruikt zou kunnen worden om andere extensies te installeren, mogelijk voor financieel gewin. Dat laatste zien we ook regelmatig op Android: een kwaadaardige app installeert dan andere apps. Per geïnstalleerde app of extensie ontvangen de aanvallers een klein bedrag.

Zulke kwaadaardige extensies zijn in principe verboden in Microsofts Edge Add-on-winkel. Toch gebeurt het nog regelmatig dat zulke extensies door de detectiesystemen glippen. Er speelt zich immers een waar kat-en-muisspel af tussen hackers en het detectiesysteem. Hackers proberen schadelijke code steeds op een andere manier te verduisteren. Als die manier weer is ontdekt door Microsoft, stappen de aanvallers over op een andere tactiek.

Beveiligingsupdate voor Edge

Guardio Labs zegt het lek begin dit jaar te hebben ontdekt. Microsoft heeft vervolgens in februari een beveiligingsupdate uitgerold voor de Edge-browser op Windows. Die update zou inmiddels voor alle systemen beschikbaar zijn. Vanaf Microsoft Edge-versie 121.0.2277.98 is het lek gedicht.

BeveiligingmicrosoftMicrosoft Edge

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600