Il est possible de réaliser diverses actions néfastes dans Edge, en contournant certaines mesures de protection. Ce sont les découvertes du chercheur Manuel Caballero, qui détaille sur son blog plusieurs manières d’exploiter ces problèmes. Microsoft est au courant de la situation, mais on ne sait pas encore quand le ou les correctifs seront disponibles.

Le chercheur Manuel Caballero s’est fait une spécialité des soucis de sécurité dans les navigateurs Internet Explorer et Edge. Il indique que Microsoft réagit souvent vite aux problèmes qu’il signale, et il vaudrait mieux que l’éditeur propose rapidement des solutions dans le cas présent, car la faille soulevée peut être exploitée de diverses manières, toutes particulièrement dangereuses.

Les récentes découvertes du chercheur concernent la SOP, ou Same Origin Policy. Cette règle impose à un site en particulier de n’exécuter des scripts que s’ils viennent de son propre domaine. Une mesure qui permet de bloquer en temps normal les attaques de type UXSS (Universal Cross-site Scripting).

Scripts étrangers et remplissage automatique bavard

Dans son dernier billet, particulièrement technique, Caballero montre comment il est possible d’exploiter une faiblesse dans Edge et donc de faire exécuter au sein d’une page un script provenant d’un autre domaine, grâce à diverses techniques (data URI, pages sans nom de domaine et autres). Les différents effets obtenus peuvent tous avoir de graves implications de sécurité.

Par exemple, il est parvenu à faire exécuter sur la page de Bing l’un de ses scripts. Il a réussi également à faire déconnecter un utilisateur de son compte Twitter pour profiter du remplissage automatique des identifiants fourni par Edge, afin d’intercepter les données, se connecter à sa place et publier des tweets. On appréciera le danger.

Notez dans ce deuxième exemple que le souci n’est pas spécifique à Twitter. Cette faiblesse est générale et concerne la fonction de remplissage au grand complet, si la faille parvient à être exploitée. Le chercheur indique par ailleurs que cette faiblesse est un grand « classique » dans les navigateurs. En janvier, le problème avait ainsi concerné Chrome, Safari et Opera, qui avaient tous corrigé la vulnérabilité.

Une automatisation possible via des publicités infectées

Dans le cas présent cependant, le « contournement UXSS/SOP » est bien spécifique à Edge. La situation pourrait empirer si les pirates, d’une manière ou d’une autre, parvenaient à lancer une campagne de « malvertising », c’est-à-dire de publicités infectées ou même de faux contenus créés uniquement pour répandre des scripts malveillants.

Il suffirait donc d’attirer la victime sur un site diffusant de telles publicités, en l’amenant à cliquer sur un lien, quelle que soit la méthode utilisée. Elles se chargeraient alors, par simple affichage, de déclencher les scripts qui exploiteraient la faille et réaliseraient les actions mentionnées plus haut. Et si les pirates parviennent à s’emparer d’un espace publicitaire sur un site connu, ils pourraient s’approprier différents comptes sans que les victimes ne le sachent.

Microsoft au courant, pas de solution complète pour l'instant

Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur. Cela ne résoudra pas cependant la vulnérabilité centrale, qui est bien le contournement de la Same Origin Policy. Et ce d’autant plus que le chercheur fournit des prototypes d’exploitation (proof-of-concept) et des vidéos de démonstration.

Microsoft est au courant de la situation mais n’a fourni aucun calendrier pour le colmatage de la brèche. L’éditeur a simplement indiqué à Tom’s Hardware qu’il avait un « engagement auprès des utilisateurs » pour fournir des mises à jour « aussi rapidement que possible ».