Le navigateur Microsoft Edge semble avoir une vulnérabilité de mot de passe grave. Des rapports récents révèlent que des attaquants ou des hackers pourraient facilement obtenir un mot de passe d'utilisateur et des fichiers témoins pour des comptes en ligne, une vulnérabilité découverte par l'expert en sécurité Manuel Caballero, quelqu'un qui possède une vaste expérience de la découverte des bogues et des failles dans Edge et Internet Explorer.

Les attaquants peuvent contourner la protection SOP d'Edge

Cette vulnérabilité permet à un attaquant de charger et d'exécuter du code malveillant en utilisant des URI de données, une balise Meta refresh et des pages sans domaine, telles que about: blank. Cette technique d’exploitation comporte de nombreuses variantes et Caballero a montré comment un pirate informatique pouvait exécuter du code sur des sites prestigieux simplement en incitant les utilisateurs à accéder à une URL illicite.

Caballero a présenté trois démos dans lesquelles il a exécuté du code sur la page d'accueil de Bing, tweeté au nom d'un autre utilisateur et volé le mot de passe et les fichiers de cookies d'un compte Twitter.

La dernière attaque a révélé une erreur de sécurité dans la conception des navigateurs modernes: la capacité du pirate à déconnecter un utilisateur, à charger une page de connexion et à voler les informations d'identification de l'utilisateur automatiquement renseignées par la fonctionnalité de saisie automatique du mot de passe du navigateur.

La vulnérabilité n'est toujours pas corrigée. Pour cette raison, Caballero a fourni des démos à télécharger afin que les utilisateurs puissent inspecter le code source et s'assurer que leurs mots de passe et les cookies ne sont téléchargés nulle part.

Les attaques sont automatisées par malvertising

Il semble également que les attaques puissent être personnalisées pour vider les mots de passe ou les cookies de plusieurs services en ligne tels qu'Amazon, Facebook, etc. Seul Edge est affecté car «les contournements UXSS / SOP ont tendance à être particuliers à chaque navigateur ».

Les annonces modernes fournissent du code JavaScript aux navigateurs. C’est pourquoi les attaquants peuvent faciliter les campagnes de publicité malveillante pour automatiser la diffusion de cet exploit auprès d’un grand nombre de victimes.

Pour plus d'informations, vous pouvez lire la description technique du problème chez Caballero.