Skip to main content

Исследователь безопасности mr.dox разработал новый метод атаки с использованием Microsoft Edge WebView2 для кражи учетных данных, обхода двухфакторной аутентификации и доступа к файлам cookie. Этот метод называется WebView2-Cookie-Stealer, он позволяет злоумышленникам

получить широкие возможности в плане авторизации в онлайн-сервисах.

С помощью WebView2 разработчики могут встраивать веб-контент в свои приложения для Windows, а браузер Microsoft Edge использует этот элемент для отображения этого контента. Богатый функционал WebView2 делает его привлекательным для злоумышленников, которые могут загрузить любую страницу авторизации для популярных сервисов. Одной из главных особенностей этого элемента является возможность использования JavaScript. Это то, что mr.dox использовал для внедрения вредоносного кода на страницы, загруженные приложением, использующим WebView2.

Чтобы продемонстрировать новую атаку, исследователь создал приложение, которое загружает форму авторизации на веб-сайт Microsoft со встроенным кейлоггером JavaScript. Поскольку загружается реальный сайт, он не блокируется антивирусом или двухфакторной аутентификацией. Пользователи не увидят никакой разницы между формой авторизации приложения и веб-страницей, загруженной в браузере. Таким образом, все данные, которые вводит пользователь, автоматически отправляются на сервер злоумышленника.

Эксперты предупреждают о новом способе обхода двухфакторной аутентификации в Windows

Сама атака не дает доступа к учетным записям, защищенным двухфакторной аутентификацией. Однако любой файл cookie может быть украден, в том числе и для аутентификации. Они извлекаются зашифрованными (в формате base64), но данные легко расшифровать. WebView2 можно использовать для кражи всех файлов cookie активного пользователя. Используя эту функцию, злоумышленник может украсть данные из Chrome или других браузеров: пароли, закладки, историю и другую информацию.

Основным недостатком этой атаки является необходимость запуска вредоносного приложения на устройстве пользователя. Для доступа к данным требуется авторизация в сервисах, но кража cookie может происходить и без нее. Антивирусы могут препятствовать запуску вредоносных приложений Webview2, хотя Защитник Microsoft не блокировал приложение кейлоггера, созданное mr.dox.

Оставить комментарий