Una vulnerabilidad hallada en Microsoft Edge puede ser explotada por un atacante para obtener las contraseñas y los ficheros de cookies de servicios online. Fue descubierta por el investigador Manuel Caballero, quien es experto en el descubrimiento de fallos de seguridad en los navegadores propios de Microsoft, Edge e Internet Explorer.
Caballero ha conseguido saltarse Same Origin Policy (SOP), una característica de Microsoft Edge destinada a evitar que un sitio web cargue un formulario y ejecute scripts procedentes de otro. Dicho de otra forma, se abre la puerta a que un atacante pueda cargar y ejecutar código malicioso con la ayuda de datos URI, el refresco de etiquetas meta y páginas sin dominio como about:blank.
A través de variaciones de la técnica de explotación, Caballero ha mostrado cómo un atacante podría ejecutar código en un sitio de perfil alto solo engañando a la víctima para que haga clic sobre una URL maliciosa. En las tres pruebas de concepto (1, 2 y 3) que ha publicado, el investigador consiguió ejecutar código en la página de inicio del buscador Bing, publicó tweets con el nombre de otro usuario y luego robó contraseñas y cookies desde la misma cuenta de Twitter.
El último ataque vuelve a poner en evidencia un fallo de seguridad hallado en los navegadores web modernos, el cual da la capacidad a un atacante para cerrar sesiones de un usuario, cargar la página de acceso y robar las credenciales del usuario que son rellenados automáticamente por la característica de autocompletado de contraseñas de los mismo navegadores.
El investigador ha avisado que los atacantes se podrían apoyarse en campañas de malvertising para automatizar el envío del exploit a miles de víctimas, debido a que hoy en día la publicidad moderna se envía a través de JavaScript. Esto permitiría robar las credenciales de una cuenta de Twitter a través de un banner malicioso colocado en una página web de Yahoo.
Por lo que se sabe, la vulnerabilidad de momento permanece sin parchear y Caballero ha publicado una demostración en Google Drive para que los usuarios puedan sospechar de códigos similares.