Эксперты предупреждают о новом способе обхода двухфакторной аутентификации в Windows
Исследователь безопасности mr.dox разработал новый метод атаки с использованием Microsoft Edge WebView2 для кражи учётных данных, обхода двухфакторной аутентификации и доступа к файлам cookie. Этот метод получил название WebView2-Cookie-Stealer, он позволяет злоумышленникам
получить широкие возможности в плане авторизации в онлайн-сервисах.
С помощью WebView2 разработчики могут встраивать веб-контент в свои приложения для Windows, а браузер Microsoft Edge использует данный элемент для отображения этого контента. Богатая функциональность WebView2 делает его привлекательным для злоумышленников, которые могут загрузить любую страницу авторизации для популярных сервисов. Одной из основных особенностей данного элемента является возможность использования JavaScript. Именно его использовал mr.dox для внедрения вредоносного кода на страницы, которые загружает приложение, использующее WebView2.
Для демонстрации новой атаки исследователь создал приложение, которое загружает форму авторизации на сайт Microsoft со встроенным кейлоггером JavaScript. Поскольку загружается реальный сайт, он не блокируется антивирусом или двухфакторной аутентификацией. Пользователи не увидят никаких различий между формой авторизации приложения и веб-страницей, загруженной в браузере. Таким образом, все данные, которые вводит пользователь, автоматически отправляются на сервер злоумышленника.
Сама по себе атака не предоставляет доступ к учётным записям, защищённым с помощью двухфакторной аутентификации. Однако похитить можно любые файлы cookie, включая те, что для аутентификации. Они извлекаются в зашифрованном виде (в формате base64), но декодировать данные несложно. WebView2 может использоваться для кражи всех файлов cookie активного пользователя. Используя эту возможность, злоумышленник может украсть данные из Chrome или других браузеров: пароли, закладки, историю и прочую информацию.
Основным недостатком этой атаки является необходимость запуска вредоносного приложения на пользовательском устройстве. Для доступа к данным требуется авторизация в сервисах, но кража файлов cookie может происходить и без этого. Антивирусы могут предотвратить запуск вредоносных приложений Webview2, хотя Microsoft Defender не заблокировал приложение с кейлоггером, которое создал mr.dox.