Logran explotar una vulnerabilidad en Microsoft Edge que permite acceder a otras apps desde el navegador

Los investigadores de seguridad Yushi Laing y Alexander Kochkov han creado una prueba de concepto en la que evidencian cómo lograron explotar una vulnerabilidad zero day en Microsoft Edge que puede permitir a un tercero malicioso ejecutar comandos en el ordenador de un usuario de forma remota.

En el vídeo publicado en Vimeo podemos ver como son capaces de ejecutar la página de inicio de Chrome en Firefox a través de Microsoft Edge, y aunque suene como un trabalenguas lo que prueba es que han logrado acceder a otras apps más allá de sus permisos normales a través del navegador de Microsoft.

Fueron dos las vulnerabilidades descubiertas que podrían permitir a un usuario anónimo ejecutar código de forma remota y potencialmente tomar el control del dispositivo. Laing mostró un adelanto del exploit en su cuenta de Twitter el pasado 2 de noviembre, ahí enseña cómo podía ejecutar la calculadora de Windows desde Microsoft Edge.

Empezó en Firefox y terminó en Edge

El investigador, especializado en encontrar exploits, inicialmente estaba revisando tres bugs de ejecución remota de código en Firefox como parte de una cadena de exploit, y en ese proceso encontró dos fallos similares en Edge.

Su objetivo entonces fue desarrollar un exploit estable en Edge que permitiera escapar por completo del sandbox, para recargar la app con permisos manipulados. Esto permitiría al usuario ejecutar funciones y acceder a otras más allá de sus permisos normales, así como a los datos de otras aplicaciones.

Las recompensas por escapar por completo el sandbox en Edge y ganar privilegios elevados alcanzan los 80.000 dólares

Microsoft aún no ha recibido detalles sobre esta vulnerabilidad, aunque Liang publicó el vídeo y dice tener el código de la prueba de concepto lista. Los investigadores están planeando publicar con todos los detalles una vez que logren romper completamente el sandbox en Edge, además de buscar un método para escalar los privilegios de ejecución a todo el sistema para tomar control total del equipo.

Vía | BleepingComputer

También te recomendamos


No hay que esperar al Black Friday: trucos para llevarte ya lo mejor en tecnología al mejor precio (y sin riesgos)


Microsoft se queda sin tiempo y Google expone un fallo de seguridad en Edge antes de que tenga solución


Tus inicios de sesión pueden quedar expuestos a los rastreadores por culpa del navegador


La noticia

Logran explotar una vulnerabilidad en Microsoft Edge que permite acceder a otras apps desde el navegador

fue publicada originalmente en

Genbeta

por
Gabriela González

.

Powered by WPeMatico

Aquí puedes comentar sobre este artículo

comentarios

Esta web utiliza cookies . Si continuas navegando estás aceptándola