CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

O nouă metodă de phishing ocolește autentificarea multi-factor folosind aplicațiile Microsoft WebView2

Multi-Factor Authentication Concept - MFA - Screen with Authentication Factors Surrounded by Digital Access and Identity Elements - Cybersecurity Solutions - 3D Illustration

O nouă tehnică de phishing utilizează aplicațiile Microsoft Edge WebView2 pentru a colecta cookie-urile de autentificare ale unei victimei, permițând atacatorului să ocolească mecanismul de autentificare multi-factor.

Pe lângă numărul mare de scurgeri de date, atacuri de tip remote access trojan și campaniile de phishing lansate, numărul credențialelor de conectare furate a devenit mult mai mare. Cu toate acestea, implementarea mecanismului de autentificare multi-factor (MFA) a făcut dificilă utilizarea credențialelor furate, cu excepția cazului în care atacatorul are acces și la codurile de acces MFA sau cheile de securitate unice ale țintei.

Acest lucru a dus la descoperirea de noi tehnici de ocolire a autentificarii multi-factor, precum vulnerabilități de tip zero-day, reverse proxy sau altele precum Browser in the Browser și utilizarea VNC pentru a afișa browsere de la distanță local.

Recent, cercetătorul în domeniul securității mr.d0x a creat o nouă metodă de phishing care utilizează aplicațiile Microsoft Edge WebView2 pentru a fura cookie-urile de autentificare ale unui utilizator și pentru a se conecta la conturile furate chiar dacă acestea sunt securizate cu MFA.

Acest nou atac de inginerie socială se numește WebView2-Cookie-Stealer și constă într-un executabil WebView2 care, atunci când este lansat, deschide formularul de conectare al unui site web legitim în interiorul aplicației. Microsoft Edge WebView2 permite încorporarea unui browser web, cu suport complet pentru HTML, CSS și JavaScript, direct în aplicații folosind Microsoft Edge (Chromium) ca motor de randare. Cu toate acestea, WebView2 permite unui dezvoltator să acceseze direct cookie-urile și să injecteze JavaScript în pagina web care este încărcată, făcându-l un instrument care înregistrează apăsările de taste și colectează cookie-urile de autentificare și apoi le trimite la un server de la distanță.

Cu toate acestea, acest atac este unul de inginerie socială și necesită ca utilizatorul să ruleze un executabil malițios. Cercetătorul recomandă utilizatorilor să evite rularea sau instalarea aplicațiilor din surse necunoscute sau de încredere și să mențină Microsoft Defender (sau alt software anti-malware) activ și actualizat.

Sursa: https://www.bleepingcomputer.com/news/security/clever-phishing-method-bypasses-mfa-using-microsoft-webview2-apps/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică