Posté le juin 30, 2021 à 17:50
DES HACKERS POURRAIENT VOLER LES DONNÉES DES UTILISATEURS EN EXPLOITANT LE BUG DE MICROSOFT EDGE
La semaine dernière, Microsoft a publié des mises à jour pour le navigateur Edge, apportant des corrections à deux vulnérabilités. L’un des bugs est un contournement de sécurité que les acteurs de la menace pourraient exploiter pour planter et exécuter du code arbitraire sur n’importe quel site web.
Selon les rapports, la vulnérabilité a été baptisée CVE-2021-34506, avec un score de 5,4. Le bug présente une faiblesse universelle de type « cross-site scripting » qui est déclenchée lorsque les pages Web sont automatiquement traduites via Microsoft Translator dans la fonction intégrée des navigateurs.
Shivam Kumar Singh et Vansh Devgan, de la société de cybersécurité CyberXplore Private Limited, ont découvert et signalé cette vulnérabilité.
L’attaque UXSS exploite une vulnérabilité côté client
Les chercheurs ont noté que le type d’attaque UXSS ne fonctionne pas comme les attaques XSS, car il exploite une vulnérabilité côté client, soit dans les extensions du navigateur, soit dans le navigateur lui-même, lorsqu’il génère une condition XSS.
Lorsque la vulnérabilité est découverte et exploitée, le navigateur se comporte différemment et les acteurs de la menace peuvent désactiver ou contourner son infrastructure de sécurité.
Les chercheurs ont également découvert que la fonctionnalité de traduction comporte un code vulnérable qui ne vérifie pas les entrées. Par conséquent, un attaquant peut potentiellement introduire du code JavaScript malveillant dans chaque section de la page Web, dont l’exécution est déclenchée lorsque l’utilisateur clique sur l’invite de la page Web.
Il s’agit d’un exploit de preuve de concept (PoC), ce qui signifie que les acteurs de la menace peuvent lancer l’attaque en plaçant simplement un commentaire sur une vidéo YouTube, selon les chercheurs.
De même, les chercheurs ont remarqué qu’un profil Facebook comportait une demande d’ami qui contient un contenu en langue étrangère et la charge utile XSS. Ils ont découvert qu’il exécutait le code peu après que le destinataire de la demande ait regardé le profil de l’utilisateur.
Microsoft a corrigé la vulnérabilité
Lorsque Microsoft a été informée du bug le 3 juin, elle a corrigé le problème trois semaines plus tard et a récompensé les chercheurs à hauteur de 20 000 dollars dans le cadre de son programme de primes aux bugs.
Selon un certain Singh, plusieurs vulnérabilités ont été découvertes dans les produits de Microsoft. Son collègue, Devgan, a indiqué qu’ils ont signalé le problème au géant de la technologie, qui a confirmé et corrigé le bug.
Il ajoute qu’ils ont tous deux commencé leur analyse de la vulnérabilité le 3 juin, lorsque le problème a été signalé. Ils ont utilisé le navigateur Microsoft Edge et ont découvert qu’il contenait des charges utiles XSS.
« Nous avons reçu tellement de pop-ups sur Microsoft Edge », a déclaré Devgan, ajoutant que cela semblait bizarre. Ils ont vérifié le problème sur Chrome et suivi la même analyse, mais n’ont pas trouvé de pop-up, a noté le chercheur.
Après cette découverte, Devgan dit qu’ils ont tous deux commencé à examiner la plateforme et ont constaté que le logiciel préinstallé Microsoft Edge était vulnérable depuis un certain temps. Il accepte les pages html sans en extraire la charge utile ni assainir les données d’entrée lors de la traduction.
Les chercheurs ont noté que le traducteur interne prenait la charge utile pour l’exécuter en tant que javascript, car il n’y avait pas de contrôles de validation établis pour assainir les entrées ou traiter le DOM pour la traduction.
Devgan a également noté que trois autres chercheurs ont essayé d’exploiter la vulnérabilité dans YouTube et Google et que les deux tentatives via les plateformes ont été couronnées de succès.
Problèmes de sécurité récents chez Microsoft
Les chercheurs sont devenus les derniers bénéficiaires du programme de primes aux bugs de Microsoft, qui récompense les chercheurs en sécurité pour leurs efforts visant à découvrir des vulnérabilités avant que les acteurs malveillants ne le fassent. D’autres entreprises ont également leur programme de primes aux bugs, car c’est un moyen de s’assurer que leurs systèmes et réseaux sont exempts de tout bug susceptible d’être exploité par des gangs de ransomware et des hackers.
Microsoft a fait l’actualité ces derniers temps pour de mauvaises raisons. En début de semaine, le géant technologique a révélé qu’il avait découvert une autre violation dans le piratage de SolarWinds.
Les acteurs de la menace ont également infiltré trois entités en utilisant des techniques de force brute et de pulvérisation de mots de passe pour obtenir un accès non autorisé à des comptes. La sécurité de l’entreprise a été remise en question récemment, pour un réseau réputé solide au fil des ans.