Auf den Punkt: Angreifer nutzen Native-Messaging-Schnittstellen in Browser-Erweiterungen, um Sandbox-Beschränkungen zu überwinden und auf Systemebene Malware zu installieren.
Eine bösartige Microsoft-Edge-Erweiterung namens „Edgecution" wurde verwendet, um aus der Browser-Sandbox auszubrechen und einen Python-basierten Backdoor einzuschleusen. Dies zeigt eine Angriffskette, die Browser-Isolations-Mechanismen umgeht.
Die Erweiterung „Edgecution” wurde in einer Ransomware-Kampagne eingesetzt. Sie missbraucht Microsofts Native-Messaging-API – eine Schnittstelle, die Browsererweiterungen erlaubt, mit lokalen Programmen zu kommunizieren – um die Sandbox-Grenzen des Browsers zu durchbrechen. Dies ermöglicht Angreifern, aus der eingeschränkten Browserumgebung herauszutreten und auf höhere Systemrechte zuzugreifen.
Für CISOs ist dieses Angriffsverfahren relevant, weil es zeigt, dass Browser-Erweiterungen ein erhebliches Sicherheitsrisiko darstellen. Während der Browsersandbox grundsätzlich Malware von der Systemebene isolieren soll, können manipulierte oder schädliche Erweiterungen diese Schutzmechanismen umgehen. Die Native-Messaging-Funktion ist dafür konzipiert, legitime Funktionalität zu ermöglichen, wird hier aber als Einfallstor instrumentalisiert.
Organisations-übergreifend sollte bedacht werden, dass Benutzer beliebig Browser-Erweiterungen installieren können. Eine Kontrolle auf dieser Ebene ist häufig nicht implementiert. Die Python-basierte Backdoor deutet darauf hin, dass Angreifer nach erfolgreicher Umgehung der Sandbox vollständigen Code-Ausführungsraum erlangen und Systeme für Ransomware-Kampagnen vorbereiten.
Quelle: www.bleepingcomputer.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.