Microsoft Übersetzungsfehler öffnen Edge-Browser für triviale UXSS-Angriffe

  • Der Fehler in der automatischen Übersetzung von Edge hätte es Angreifern ermöglichen können, einen RCE auf einer beliebigen fremdsprachigen Website auszuführen, indem sie einfach eine Nachricht mit einer XSS-Nutzlast senden.

    Microsoft hat letzte Woche zwei Fehler in seinem Chromium-basierten Edge-Browser gepatcht, von denen einer von einem Angreifer genutzt werden könnte, um die Sicherheit zu umgehen und aus der Ferne beliebigen Code auf einer beliebigen Website zu injizieren und auszuführen, indem er einfach eine Nachricht sendet.

    Dieser sicherheitsumgehende Fehler, CVE-2021-34506, wird mit CVSS 5.4, also als wichtig, eingestuft. Seine Komplexität ist gering, und ein Angreifer könnte ihn ausnutzen, ohne irgendwelche Privilegien zu benötigen, sagte Microsoft, als es die Korrekturen am Donnerstag veröffentlichte. Ein Exploit würde allerdings eine Benutzerinteraktion erfordern.

    Microsoft sagte, dass es keine bekannten Exploits gibt, aber Forscher haben einen funktionierenden Proof-of-Concept-Angriff veröffentlicht.

    Die Schwachstelle stammt aus einem universellen Cross-Site-Scripting (UXSS)-Problem, das beim automatischen Übersetzen von Webseiten mit der integrierten Microsoft Translator-Funktion des Edge-Browsers ausgelöst wird: eine Funktion, durch die der Browser den Benutzer automatisch auffordert, eine Webseite zu übersetzen, wenn die Seite in einer anderen Sprache als den unter den bevorzugten Sprachen des Benutzers in den Einstellungen aufgeführten Sprachen ist.

    Wie die Analysten, die den Fehler fanden und meldeten, erklärten, unterscheidet sich ein UXSS von gewöhnlichen XSS-Angriffen dadurch, dass er “clientseitige Schwachstellen im Browser oder in Browser-Erweiterungen ausnutzt, um eine XSS-Bedingung zu erzeugen” und bösartigen Code auszuführen. “Wenn solche Schwachstellen gefunden und ausgenutzt werden, wird das Verhalten des Browsers beeinflusst und seine Sicherheitsfunktionen können umgangen oder deaktiviert werden”, hieß es Anfang des Monats in einem Posting.

    Die Forscher, die für die Entdeckung des Bugs verantwortlich sind, sind Ignacio Laurence, Vansh Devgan und Shivam Kumar Singh, von CyberXplore Private Limited.

    ‘What’s Up With This перевод?’

    Forscher fanden die Schwachstelle in der Mail[.]ru Subdomain. HackerOne bietet Kopfgelder von bis zu 40.000 $ für kritische Probleme, die auf mail[.]ru-Sites gefunden werden.

    Da Chrome keine automatische Übersetzung von Seiten aus verschiedenen Sprachen bietet, verwenden die Fehlerjäger Firefox mit der Penetrationstest-Plattform Burp Suite, um “mit Webanwendungen zu spielen”, sagten sie.

    Als sie auf der Suche nach Schwachstellen in einem Mailprogramm herumstöberten[.]ru-Subdomain suchten, stießen sie auf eine Reihe von Problemen, als der Firefox-Browser versuchte, zu übersetzen.

    Eine Suche nach einer Firefox-Übersetzungserweiterung, die helfen könnte, die Seite ins Englische zu übersetzen, ergab nichts. In der Tat werden viele Erweiterungen entfernt, weil sie anfälligen Code enthalten, so die Analysten. Nun, das brachte sie zum Nachdenken: Wie kann eine verwundbare Erweiterung Browser-Benutzer beeinflussen?

    Die Antwort: eine Menge. Ein Beispiel: Vor 18 Monaten fanden Forscher 500 bösartige Chrome-Erweiterungen, die heimlich die Browserdaten der Benutzer sammelten und sie auf mit Malware verseuchte Websites umleiteten. Diese bösartigen Erweiterungen wurden millionenfach aus Googles Chrome Web Store heruntergeladen, bevor sie aufgespürt und entfernt wurden.

    Den Analysten fiel auf, dass Erweiterungen “universellen Zugriff auf jede Website” in einem Browser haben. “Zum Beispiel, wenn Sie auf facebook.com sind, [your browser] zugreifen können [the] vollständiges DOM [Document Object Model, an interface to web pages] dieser Seite”, schrieben sie, einschließlich Cookies oder “alles”, was “mit Javascript möglich ist.” Das ist, wenn das Trio aus, um einen Fehler in der Mail zu finden[.]ru Subdomain zu finden, indem sie Microsofts Edge-Browser verwendeten.

    Warum auf Microsoft Edge herumhacken? Das ist wie der Grund, warum Gauner Banken ausrauben: Weil dort das Geld ist.

    “Es hat eine [sic] Bounty-Programm”
    -CyberXplore Private Limited-Analysten

    Zuerst beschlossen sie, zu versuchen, die Mail zu übersetzen[.]ru-Website in Microsoft Edge zu übersetzen und ein letztes Mal zu testen, da Edge über eine neu aktualisierte Translator By Microsoft-Funktion verfügte. Als die Analysten auf die mail.ru-Website zurückkehrten, begannen die “ka-chings” zu ertönen. Sie war in der Tat “voll mit XSS-Payloads”, schrieben sie. “Wir haben herausgefunden, dass die Seite, sobald wir sie übersetzt haben, nicht mehr funktioniert. [the] Seite so viele Popups auf Microsoft Edge bekamen, dass es seltsam aussah”, erklärten sie, also wechselten sie wieder zu Googles Chrome-Browser. “Dieses Mal kein Popup!”, sagten sie.

    Ein wenig Nachforschung ergab anfälligen Code im neuen Microsoft Edge-Übersetzer, der “alle HTML-Tags mit einem ‘>img’-Tag übernimmt, ohne sie zu bereinigen [sic] ohne die Eingabe zu bereinigen oder die Nutzlast während des Übersetzens in Text umzuwandeln”, beschrieben die Analysten. Mit anderen Worten, der interne Übersetzer nahm die “>img src=x onerror=alert(1)>”-Nutzlast und führte sie als Javascript ohne ordnungsgemäße Validierung aus.

    Insbesondere wird angenommen, dass der Fehler im Codeschnipsel “startPageTranslation” liegt.

    PoC: Nur ein YouTube-Kommentar & ein Tupfer XSS-Payload

    In dem unten gezeigten Proof-of-Concept (PoC) auf YouTube haben die Forscher demonstriert, wie man den Angriff auslöst, indem man einfach einen Kommentar zu einem YouTube-Video hinzufügt, der in einer anderen Sprache als Englisch geschrieben ist, zusammen mit einem XSS-Payload.

    Windows Store-Anwendungen wie Instagram seien ebenfalls anfällig für den Angriff, da der Windows Store denselben Microsoft Edge Translator verwendet, der diesen UXSS-Angriff auslösen kann.

    Die Analysten berichteten am 3. Juni über ihre Erkenntnisse. Am 17. Juni wurden sie mit einem Kopfgeld von 20.000 US-Dollar belohnt, und Microsoft veröffentlichte letzte Woche Donnerstag einen Patch.

    Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mittwoch, 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com