Fiese Phishing-Methode umgeht MFA mit Microsoft WebView2-Apps
Das berichtet das Online-Magazin Bleeping Computer. Es geht dabei um eine raffinierte Phishing-Methode, die Windows-Nutzer anvisiert. Generell erschwert die Verwendung von Multifaktor-Authentifizierung (MFA) zwar den Zugriff auf sensible Daten, doch wenn diese Hürde genommen wird, ist ein Angriff von außen verhältnismäßig leicht.
Der Sicherheitsforscher mr.d0x hat jetzt eine solche Methode vorgestellt, die Microsoft Edge WebView2-Anwendungen nutzt, um die Authentifizierungs-Cookies eines Nutzers zu stehlen. Das funktioniert allerdings nur, wenn der Angreifer schon durch weitere Lecks an die Anmeldedaten für die Konten gekommen ist, die er übernehmen möchte. Das Stehlen der MFA ist nur der letzte Schritt. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Mit der WebView2-Technologie können Anwendungen jede beliebige Website in eine native Anwendung laden und so anzeigen, als ob sie in Microsoft Edge geöffnet wäre. WebView2 ermöglicht es zudem, direkt auf Cookies zuzugreifen und JavaScript in die von einer Anwendung geladene Webseite zu injizieren. Dies macht es zu einem ausgezeichneten Werkzeug, um Tastenanschläge zu protokollieren und Authentifizierungs-Cookies zu stehlen.
mr.d0x hat für diese Art Angriff ein Proof-of-Concept-Programm gezeigt, welches das legitime Microsoft-Anmeldeformular mithilfe des eingebetteten WebView2-Steuerelements nachahmt und alle nötigen Daten für die Anmeldung ausschnüffelt.
Sobald der Angreifer die base64-kodierten Cookies dekodiert hat, hat er vollen Zugriff auf die Authentifizierungs-Cookies für die Website und kann sie verwenden, um sich bei einem Benutzerkonto anzumelden.
Die Ausnutzbarkeit dieser Schwachstelle ist aber begrenzt, da die Opfer vorab ein ausführbares Programm laden müssen, mit dem der Hacker dann seinen Zugriff startet. Das könnte zum Beispiel auch unbemerkt passieren, in etwa durch E-Mail-Anhänge, zufällige Downloads aus dem Internet, Cracks und Warez oder Spiele-Cheats.
"Bei dieser Social-Engineering-Technik muss ein Angreifer einen Benutzer davon überzeugen, eine bösartige Anwendung herunterzuladen und auszuführen", so Microsoft gegenüber BleepingComputer in einer Stellungnahme zu dieser neuen Technik. Microsoft rät: "Wir empfehlen Anwendern, sichere Computergewohnheiten zu praktizieren, die Ausführung oder Installation von Anwendungen aus unbekannten oder nicht vertrauenswürdigen Quellen zu vermeiden und Microsoft Defender (oder andere Anti-Malware-Software) auf dem neuesten Stand zu halten."
Download So laufen Windows Defender und andere Antivirus-App nicht parallel Siehe auch:
Der Sicherheitsforscher mr.d0x hat jetzt eine solche Methode vorgestellt, die Microsoft Edge WebView2-Anwendungen nutzt, um die Authentifizierungs-Cookies eines Nutzers zu stehlen. Das funktioniert allerdings nur, wenn der Angreifer schon durch weitere Lecks an die Anmeldedaten für die Konten gekommen ist, die er übernehmen möchte. Das Stehlen der MFA ist nur der letzte Schritt. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
"WebView2-Cookie-Stealer"
Dieser neue Social-Engineering-Angriff nennt sich WebView2-Cookie-Stealer und besteht aus einer ausführbaren WebView2-Datei, die beim Start das Anmeldeformular einer legitimen Website innerhalb der Anwendung öffnet.Mit der WebView2-Technologie können Anwendungen jede beliebige Website in eine native Anwendung laden und so anzeigen, als ob sie in Microsoft Edge geöffnet wäre. WebView2 ermöglicht es zudem, direkt auf Cookies zuzugreifen und JavaScript in die von einer Anwendung geladene Webseite zu injizieren. Dies macht es zu einem ausgezeichneten Werkzeug, um Tastenanschläge zu protokollieren und Authentifizierungs-Cookies zu stehlen.
mr.d0x hat für diese Art Angriff ein Proof-of-Concept-Programm gezeigt, welches das legitime Microsoft-Anmeldeformular mithilfe des eingebetteten WebView2-Steuerelements nachahmt und alle nötigen Daten für die Anmeldung ausschnüffelt.
Ein verräterischer Ordner
Die wahre Stärke dieser Art von Anwendung ist jedoch die Fähigkeit, alle Cookies zu stehlen, die vom Remote-Server nach der Anmeldung eines Nutzers gesendet werden, einschließlich Authentifizierungs-Cookies. Wie mr.d0x gegenüber BleepingComputer erklärte, erstellt die Anwendung bei der ersten Ausführung einen Chromium-Benutzerdaten-Ordner und verwendet diesen Ordner dann für jede weitere Installation. Die bösartige Anwendung verwendet eine integrierte WebView2-Schnittstelle, um die Cookies der Website bei erfolgreicher Authentifizierung zu exportieren und sie an den Angreifer zurückzusenden.Sobald der Angreifer die base64-kodierten Cookies dekodiert hat, hat er vollen Zugriff auf die Authentifizierungs-Cookies für die Website und kann sie verwenden, um sich bei einem Benutzerkonto anzumelden.
Die Ausnutzbarkeit dieser Schwachstelle ist aber begrenzt, da die Opfer vorab ein ausführbares Programm laden müssen, mit dem der Hacker dann seinen Zugriff startet. Das könnte zum Beispiel auch unbemerkt passieren, in etwa durch E-Mail-Anhänge, zufällige Downloads aus dem Internet, Cracks und Warez oder Spiele-Cheats.
"Bei dieser Social-Engineering-Technik muss ein Angreifer einen Benutzer davon überzeugen, eine bösartige Anwendung herunterzuladen und auszuführen", so Microsoft gegenüber BleepingComputer in einer Stellungnahme zu dieser neuen Technik. Microsoft rät: "Wir empfehlen Anwendern, sichere Computergewohnheiten zu praktizieren, die Ausführung oder Installation von Anwendungen aus unbekannten oder nicht vertrauenswürdigen Quellen zu vermeiden und Microsoft Defender (oder andere Anti-Malware-Software) auf dem neuesten Stand zu halten."
Download So laufen Windows Defender und andere Antivirus-App nicht parallel Siehe auch:
Thema:
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- cat swsec_is:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon