Des chercheurs en cybersécurité ont révélé une faille de sécurité dans le navigateur Web Opera pour Microsoft Windows et Apple macOS qui pourrait être exploitée pour exécuter n’importe quel fichier sur le système d’exploitation sous-jacent.
La vulnérabilité d’exécution de code à distance a été baptisée MyFlaw par l’équipe de recherche de Guardio Labs car elle profite d’une fonctionnalité appelée Mon flux qui permet de synchroniser les messages et les fichiers entre les appareils mobiles et de bureau.
« Ceci est réalisé grâce à une extension de navigateur contrôlée, contournant efficacement le bac à sable du navigateur et l’ensemble du processus du navigateur », explique la société. dit dans une déclaration partagée avec The Hacker News.
Le problème affecte à la fois le navigateur Opera et Opera GX. Suite à la divulgation responsable du 17 novembre 2023, ce problème a été traité dans le cadre de mises à jour expédié le 22 novembre 2023.
My Flow dispose d’une interface de type chat pour échanger des notes et des fichiers, ces derniers pouvant être ouverts via une interface Web, ce qui signifie qu’un fichier peut être exécuté en dehors des limites de sécurité du navigateur.
Il est préinstallé dans le navigateur et facilité au moyen d’une extension de navigateur intégrée (ou interne) appelée « Opera Touch Background », qui est chargée de communiquer avec son homologue mobile.
Cela signifie également que l’extension est livrée avec son propre fichier manifeste spécifiant toutes les autorisations requises et son comportement, y compris une propriété appelée externe_connectable qui déclare quelles autres pages Web et extensions peuvent s’y connecter.
Dans le cas d’Opera, les domaines pouvant communiquer avec l’extension doivent correspondre aux modèles « *.flow.opera.com » et « .flow.op-test.net » – tous deux contrôlés par le fournisseur du navigateur lui-même.
« Cela expose l’API de messagerie à toute page correspondant aux modèles d’URL que vous spécifiez », Google Remarques dans sa documentation. « Le modèle d’URL doit contenir au moins un domaine de deuxième niveau. »
Guardio Labs a déclaré avoir pu découvrir une version « oubliée depuis longtemps » de la page de destination My Flow hébergée sur le domaine « web.flow.opera.com » à l’aide de l’outil de numérisation du site Web urlscan.io.
« La page elle-même ressemble à celle actuellement en production, mais des changements se cachent sous le capot : non seulement il lui manque le [content security policy] méta, mais il contient également une balise de script appelant un fichier JavaScript sans aucun contrôle d’intégrité », a déclaré la société.
« C’est exactement ce dont un attaquant a besoin : un actif dangereux, oublié, vulnérable à l’injection de code et, plus important encore, avoir accès à une API de navigateur native à (très) hautes autorisations. »
La chaîne d’attaque s’articule alors, créant une extension spécialement conçue qui se fait passer pour un appareil mobile pour s’associer à l’ordinateur de la victime et transmettre une charge utile malveillante cryptée via le fichier JavaScript modifié à l’hôte pour une exécution ultérieure en invitant l’utilisateur à cliquer n’importe où sur l’écran. .
Les résultats mettent en évidence la complexité croissante des attaques basées sur les navigateurs et les différents vecteurs qui peuvent être exploités à leur avantage par les acteurs malveillants.
« Même si elles fonctionnent dans des environnements sandbox, les extensions peuvent être de puissants outils pour les pirates, leur permettant de voler des informations et de violer les limites de sécurité du navigateur », a déclaré la société à The Hacker News.
« Cela souligne la nécessité de modifier la conception interne d’Opera et d’améliorer l’infrastructure de Chromium. Par exemple, la désactivation des autorisations d’extension tierces sur des domaines de production dédiés, similaires à la boutique en ligne de Chrome, est recommandée mais n’a pas encore été implémentée par Opera. »
Lorsqu’on l’a contacté pour commenter, Opera a déclaré qu’il avait agi rapidement pour combler la faille de sécurité et mettre en œuvre un correctif côté serveur et qu’il prenait des mesures pour éviter que de tels problèmes ne se reproduisent.
« Notre structure actuelle utilise un standard HTML et constitue l’option la plus sûre qui ne brise pas les fonctionnalités clés », a déclaré la société. « Après que Guardio nous a alerté de cette vulnérabilité, nous avons supprimé la cause de ces problèmes et nous veillons à ce que des problèmes similaires n’apparaissent pas à l’avenir. »
« Nous tenons à remercier Guardio Labs pour leur travail visant à découvrir et à nous alerter immédiatement de cette vulnérabilité. Cette collaboration démontre comment nous travaillons avec des experts en sécurité et des chercheurs du monde entier pour compléter nos propres efforts visant à maintenir et à améliorer la sécurité de nos produits. et garantir à nos utilisateurs une expérience en ligne sécurisée.