Investigadores de ciberseguridad han revelado una falla de seguridad en el navegador web Opera para Microsoft Windows y Apple macOS que podría explotarse para ejecutar cualquier archivo en el sistema operativo subyacente.
El equipo de investigación de Guardio Labs ha denominado a la vulnerabilidad de ejecución remota de código como MyFlaw debido a que aprovecha una característica llamada Mi flujo que permite sincronizar mensajes y archivos entre dispositivos móviles y de escritorio.
«Esto se logra a través de una extensión controlada del navegador, evitando efectivamente la zona de pruebas del navegador y todo el proceso del navegador», dijo la compañía. dicho en un comunicado compartido con The Hacker News.
El problema afecta tanto al navegador Opera como a Opera GX. Tras la divulgación responsable el 17 de noviembre de 2023, se abordó como parte de actualizaciones enviado el 22 de noviembre de 2023.
My Flow presenta una interfaz similar a un chat para intercambiar notas y archivos, el último de los cuales se puede abrir a través de una interfaz web, lo que significa que un archivo se puede ejecutar fuera de los límites de seguridad del navegador.
Está preinstalado en el navegador y se facilita mediante una extensión integrada (o interna) del navegador llamada «Opera Touch Background», que es responsable de comunicarse con su contraparte móvil.
Esto también significa que la extensión viene con su propio archivo de manifiesto especificando todos los permisos requeridos y su comportamiento, incluida una propiedad conocida como conectable externamente que declara qué otras páginas web y extensiones pueden conectarse a él.
En el caso de Opera, los dominios que pueden comunicarse con la extensión deben coincidir con los patrones «*.flow.opera.com» y «.flow.op-test.net», ambos controlados por el propio proveedor del navegador.
«Esto expone la API de mensajería a cualquier página que coincida con los patrones de URL que especifique», Google notas en su documentación. «El patrón de URL debe contener al menos un dominio de segundo nivel».
Guardio Labs dijo que pudo descubrir una versión «olvidada hace mucho tiempo» de la página de inicio My Flow alojada en el dominio «web.flow.opera.com» usando la herramienta de escaneo del sitio web urlscan.io.
«La página en sí es bastante parecida a la que se está produciendo actualmente, pero hay cambios bajo el capó: no sólo que carece de la [content security policy] metaetiqueta, pero también contiene una etiqueta de secuencia de comandos que solicita un archivo JavaScript sin ninguna verificación de integridad», dijo la compañía.
«Esto es exactamente lo que necesita un atacante: un activo inseguro, olvidado, vulnerable a la inyección de código y, lo más importante, que tenga acceso a una API nativa de navegador con permisos (muy) altos».
Luego, la cadena de ataque se articula, creando una extensión especialmente diseñada que se hace pasar por un dispositivo móvil para emparejarse con la computadora de la víctima y transmitir una carga maliciosa cifrada a través del archivo JavaScript modificado al host para su posterior ejecución solicitando al usuario que haga clic en cualquier lugar de la pantalla. .
Los hallazgos resaltan la creciente complejidad de los ataques basados en navegador y los diferentes vectores que los actores de amenazas pueden explotar para su beneficio.
«A pesar de operar en entornos aislados, las extensiones pueden ser herramientas poderosas para los piratas informáticos, permitiéndoles robar información y violar los límites de seguridad del navegador», dijo la compañía a The Hacker News.
«Esto subraya la necesidad de cambios de diseño internos en Opera y mejoras en la infraestructura de Chromium. Por ejemplo, se recomienda deshabilitar los permisos de extensión de terceros en dominios de producción dedicados, similar a la tienda web de Chrome, pero Opera aún no lo ha implementado».
Cuando se le contactó para hacer comentarios, Opera dijo que actuó rápidamente para cerrar el agujero de seguridad e implementar una solución en el lado del servidor y que está tomando medidas para evitar que tales problemas vuelvan a ocurrir.
«Nuestra estructura actual utiliza un estándar HTML y es la opción más segura que no interrumpe la funcionalidad clave», dijo la compañía. «Después de que Guardio nos alertara sobre esta vulnerabilidad, eliminamos la causa de estos problemas y nos aseguramos de que no aparezcan problemas similares en el futuro».
«Nos gustaría agradecer a Guardio Labs por su trabajo para descubrir y alertarnos inmediatamente sobre esta vulnerabilidad. Esta colaboración demuestra cómo trabajamos junto con expertos e investigadores en seguridad de todo el mundo para complementar nuestros propios esfuerzos para mantener y mejorar la seguridad de nuestros productos. y garantizar que nuestros usuarios tengan una experiencia en línea segura».