Falha no Microsoft Edge permitia adicionar extensões ruins sem autorização.

A empresa Guardio Labs encontrou um problema no Microsoft Edge para desktop. Esse problema poderia permitir a instalação de extensões nocivas no seu computador.

A falha conseguia inserir no navegador da Microsoft recursos de mineração de criptomoedas, coleta de dados e programas que roubam informações de acesso, como logins e senhas.

Olhando criticamente para a tecnologia, negócios e comportamento.

Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo

Chamada de CVE-2024–21388, a brecha foi comunicada à Microsoft em novembro de 2023, logo que o Guardio Labs descobriu o caso. Em fevereiro do ano seguinte, uma correção foi enviada ao navegador para impedir que essa vulnerabilidade fosse explorada por criminosos.

A falha no Microsoft Edge

A instalação de extensões fraudulentas se aproveitava de um bug na garantia de privilégios para desenvolvedores. Ela explorava uma limitação na própria infraestrutura do Edge, que desde 2020 roda a partir do motor Chromium da Google.

O caminho da infecção até entrar sorrateiramente no seu navegador.Fonte:  Guardio Labs

A partir de uma API customizada e privada mais usada em marketing e instalação de temas para o Edge, criminosos poderiam disfarçar extensões criminosas de programas bem intencionados. Dessa forma, eles se tornam capazes de burlar mecanismos de segurança do programa e até não exigir a autorização do usuário para a instalação.

A infecção ocorria em sites com privilégios no navegador, como o buscador Bing. Isso significa que não era necessário baixar uma extensão através da loja do navegador.

De acordo com o pesquisador que encontrou a falha, não foram registrados usos criminosos da brecha até que ela fosse sanada pela empresa — possivelmente porque ela envolvia um alto grau de conhecimento prévio e ações complexas para ser encontrada e explorada. A partir de agora os riscos diminuem, caso o usuário tenha o navegador devidamente atualizado.