PoC untuk Kerentanan Browser Edge Tersedia untuk Publik – Bug baru di dengan CVE number CVE-2018-8495 ditemukan oleh peneliti keamanan Abdulrahman Al-Kabandi dari Kuwait. Bug ini memungkinkan seorang penyerang melakukan tindakan apa pun dari jarak jauh dengan hak-hak pengguna yang login saat serangan terjadi.
Sebagai PoC, peneliti membuat kode yang dapat digunakan penyerang untuk mendapatkan akses ke komputer jarak jauh melalui browser Microsoft Edge. Pada saat yang sama, Al-Kabandi hanya menggunakan HTML dan JavaScript untuk menunjukkan kerentanan, sehingga malware dapat diunduh di situs mana pun.
Untuk memanfaatkan kerentanan ini, penyerang dapat membuat situs web khusus dan meyakinkan korban untuk menggunakan browser Edge, dan kemudian mengambil tindakan tertentu untuk membuat malware itu bekerja. Al-Kabandi membuat kode PoC, yang hanya membutuhkan sekali tekan tombol Enter dari pengguna – setelah itu, skrip akan dijalankan dalam Visual Basic.
Dalam contoh yang diberikan oleh peneliti, penyerang membuka aplikasi Kalkulator melalui kerentanan di Edge tersebut, tetapi seseorang dapat memodifikasinya sehingga pengguna diperbolehkan mengunduh dan menjalankan malware tanpa diketahui.
Peneliti memberi tahu Microsoft tentang bug ini melalui Zero Day Initiative dan patch untuk itu sudah dimasukkan dalam paket pembaruan Windows berikutnya. Setelah memastikan bahwa kerentanan sudah ditutup, Al-Kabandi mendeskripsikan semua detail di blognya dan melampirkan video yang menunjukkan bagaimana pengguna membuka situs, menekan Enter, dan kalkulatornya berjalan.
