AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Microsoft refuerza la seguridad de Edge para bloquear extensiones maliciosas instaladas por sideloading**

admin

### 1. Introducción

Microsoft ha anunciado una nueva funcionalidad de seguridad para su navegador Edge, dirigida a prevenir una de las amenazas más persistentes y difíciles de controlar en el ecosistema de navegadores: la instalación de extensiones maliciosas mediante sideloading. Esta medida llega en un momento en el que las extensiones fraudulentas, utilizadas para el robo de credenciales, el secuestro de sesiones y la exfiltración de datos, suponen un riesgo creciente tanto para usuarios particulares como para organizaciones empresariales.

### 2. Contexto del Incidente o Vulnerabilidad

Durante los últimos años, los principales navegadores han reforzado el control sobre las extensiones disponibles en sus tiendas oficiales. Sin embargo, el proceso de sideloading —la instalación manual de extensiones fuera de los canales oficiales— sigue siendo explotado por actores de amenazas para evadir las restricciones de los marketplaces y desplegar código malicioso. Investigaciones recientes muestran que más del 10% de las infecciones por malware en navegadores corporativos están relacionadas con extensiones instaladas manualmente, muchas de las cuales no pasan los controles de seguridad de las tiendas oficiales.

El ecosistema de Edge, basado en Chromium, no es ajeno a este problema. A pesar de las mejoras en la detección y supervisión de extensiones, los atacantes han conseguido distribuir payloads a través de archivos .CRX y scripts empaquetados, aprovechando la laxitud en los controles de instalación manual.

### 3. Detalles Técnicos

El nuevo mecanismo de defensa, actualmente en fase de pruebas en los canales Canary y Dev de Edge (versión 126 y superiores), está diseñado para restringir la carga de extensiones que no provengan directamente de Microsoft Edge Add-ons Store. El sistema identifica extensiones instaladas por sideloading —es decir, aquellas agregadas mediante scripts, herramientas de administración de sistemas o instalación manual de archivos CRX— y las coloca automáticamente en una lista de cuarentena, bloqueando su ejecución y notificando al usuario.

A nivel técnico, el sistema emplea un control de integridad sobre la firma digital de las extensiones y verifica su origen antes de permitir su ejecución. Además, se ha incorporado una nueva política de grupo (“ExtensionInstallBlocklist”) que permite a los equipos de IT de empresas gestionar centralizadamente qué extensiones pueden ser instaladas, reforzando la seguridad en entornos corporativos.

En cuanto a vector de ataque, los métodos más comunes de sideloading detectados incluyen:
– Campañas de phishing que inducen al usuario a instalar extensiones aparentemente legítimas.
– Scripts de automatización (PowerShell, Python) que aprovechan privilegios locales para instalar extensiones sin intervención del usuario.
– Utilización de herramientas post-explotación como Metasploit y Cobalt Strike para persistencia a través de extensiones maliciosas.

Aunque no se ha asignado un CVE específico a esta nueva funcionalidad, Microsoft ha referenciado la técnica MITRE ATT&CK T1176 (Browser Extensions) como principal vector mitigado.

### 4. Impacto y Riesgos

La proliferación de extensiones maliciosas tiene un impacto considerable en la superficie de ataque de las organizaciones. Un informe de 2023 indica que el 35% de las brechas de datos relacionadas con navegadores implicaron el uso de extensiones fraudulentas. Entre los riesgos más relevantes destacan:
– Robo de credenciales y tokens de sesión (con especial incidencia en aplicaciones SaaS y O365).
– Intercepción de tráfico cifrado, permitiendo ataques man-in-the-browser.
– Exfiltración de información sensible y espionaje corporativo.
– Uso de extensiones como canal C2 para persistencia y movimiento lateral.

El coste medio asociado a una brecha originada por una extensión maliciosa supera los 240.000 euros, considerando gastos de respuesta, interrupción del negocio y sanciones regulatorias bajo GDPR y NIS2.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft recomienda a los administradores:
– Aplicar políticas restrictivas de instalación de extensiones mediante GPO, permitiendo únicamente aquellas aprobadas en la tienda oficial.
– Monitorizar de forma proactiva los registros de instalación de extensiones y configurar alertas ante cambios no autorizados.
– Implementar soluciones de EDR y análisis de comportamiento para la detección de actividad anómala asociada a extensiones.
– Formar a los usuarios sobre los riesgos del sideloading y la importancia de no instalar extensiones de orígenes no verificados.

Para entornos empresariales, se aconseja el uso de herramientas de gestión centralizada de navegadores y la integración de Edge con sistemas SIEM para el seguimiento de eventos relacionados con extensiones.

### 6. Opinión de Expertos

Especialistas en ciberseguridad coinciden en que la decisión de Microsoft es un paso clave para reducir la superficie de ataque explotada por actores de amenazas. “Bloquear el sideloading por defecto sitúa a Edge a la vanguardia en la protección del endpoint, especialmente frente a amenazas que evaden los controles tradicionales de las tiendas de extensiones”, afirma Javier Molina, CISO en una multinacional del sector industrial. No obstante, advierte que “la medida debe ir acompañada de una cultura de ciberhigiene y controles adicionales, ya que el usuario sigue siendo el eslabón más débil”.

### 7. Implicaciones para Empresas y Usuarios

Esta nueva función supondrá una reducción drástica de los incidentes relacionados con extensiones no autorizadas, facilitando la labor de los equipos SOC y de compliance. Para las empresas sujetas a GDPR y NIS2, este refuerzo contribuye al cumplimiento de los requisitos de protección de datos y gestión de riesgos tecnológicos. Los usuarios, por su parte, verán minimizado el riesgo de exposición involuntaria a malware y spyware, aunque deberán adaptarse a una mayor restricción en la personalización del navegador.

### 8. Conclusiones

La iniciativa de Microsoft para frenar el uso de extensiones maliciosas mediante la restricción del sideloading en Edge representa una mejora significativa en la defensa del navegador y del puesto de trabajo. En un contexto donde las amenazas evolucionan y los atacantes perfeccionan sus técnicas de evasión, dotar al navegador de mecanismos proactivos de control se convierte en una pieza clave para la ciberresiliencia empresarial.

(Fuente: www.bleepingcomputer.com)