Fiese Phishing-Methode umgeht MFA mit Microsoft WebView2-Apps - Starstube

Fiese Phishing-Methode umgeht MFA mit Microsoft WebView2-Apps

Fiese Phishing-Methode umgeht MFA mit Microsoft WebView2-Apps


Ein Sicherheitsforscher hat eine neue Phishing-Methode vorgestellt, die sich WebView2-Anwendungen in Microsoft Edge zum Komplizen macht. Bei dem Angriff WIRD die Multifaktor-Authentifizierung umgangen, womit eine wichtige Sicherheitsfunktion außer Kraft gesetzt ist.

Das berichtet das Online-Magazin Bleeping Computer. Es geht dabei um eine raffinierte Phishing-Methode, die Windows-Nutzer anvisiert. Generell erschwert die Verwendung von Multifaktor-Authentifizierung (MFA) zwar den Zugriff auf sensible Daten, doch wenn diese Hürde genommen wird, ist ein Angriff von außen verhältnismäßig leicht.

Der Sicherheitsforscher mr.d0x hat jetzt eine solche Methode vorgestellt, die Microsoft Edge WebView2-Anwendungen nutzt, um die Authentifizierungs-Cookies eines Nutzers zu stehlen. Das funktioniert allerdings nur, wenn der Angreifer schon durch weitere Lecks an die Anmeldedaten für die Konten gekommen ist, die er übernehmen möchte. Das Stehlen der MFA ist nur der letzte Schritt.
Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing

„WebView2-Cookie-Stealer“

Dieser neue Social-Engineering-Angriff nennt sich WebView2-Cookie-Stealer und besteht aus einer ausführbaren WebView2-Datei, die beim Start das Anmeldeformular einer legitimen Website innerhalb der Anwendung öffnet.

Mit der WebView2-Technologie können Anwendungen jeder beliebigen Website in einer nativen Anwendung geladen und so angezeigt werden, als ob sie in Microsoft Edge geöffnet wäre. WebView2 ermöglicht es außerdem, direkt auf Cookies zuzugreifen und JavaScript in die von einer Anwendung geladene Webseite zu injizieren. Dies macht es zu einem wichtigen Werkzeug, um Tastenanschläge zu protokollieren und Authentifizierungs-Cookies zu stehlen.

mr.d0x hat für this Art Angriff ein Proof-of-Concept-Programm gezeigt, welches das legitime Microsoft-Anmeldeformular mithilfe des eingebetteten WebView2-Steuerelements nachahmt und alle nötigen Daten für die Anmeldung ausschnüffelt.

Ein verräterischer Ordner

Die wahre Stärke dieser Art von Anwendung ist jedoch die Fähigkeit, alle Cookies zu stehlen, die vom Remote-Server nach der Anmeldung eines Nutzers gesendet werden, einschließlich Authentifizierungs-Cookies. Wie mr.d0x gegenüber BleepingComputer erklärt, erstellt sterben Anwendung bei der ersten Ausführung Chromium-Benutzerdaten-Ordner einen und used this Ordner dann für jede weitere Installation. Die bösartige Anwendung used Eine integrierte WebView2-Schnittstelle, um die Cookies der Website bei erfolgreicher Authentifizierung zu exportieren und sie an den Angreifer zurückzusenden.

Sobald der Angreifer die base64-kodierten Cookies entschlüsselt hat, hat er vollen Zugriff auf die Authentifizierungs-Cookies für die Website und kann sie verwenden, um sich bei einem Benutzerkonto anzumelden.

Die Ausnutzbarkeit dieser Schwachstelle ist aber begrenzt, da die Opfer vorab ein ausführbares Programm laden müssen, mit dem der Hacker dann seinen Zugriff gestartet. Das könnte zum Beispiel auch unbemerkt passieren, in etwa durch E-Mail-Anhänge, zufällige Downloads aus dem Internet, Cracks und Warez oder Spiele-Cheats.

„Bei dieser Social-Engineering-Technik muss ein Angreifer einen Benutzer davon überzeugen, eine bösartige Anwendung herunterzuladen und auszuführen“, so Microsoft gegenüber BleepingComputer in einer Stellungnahme zu dieser neuen Technik. Microsoft rät: „Wir empfehlen Anwendern, sichere Computergewohnheiten zu praktizieren, die Ausführung oder Installation von Anwendungen aus unbekannten oder nicht zuverlässigen Quellen zu vermeiden und Microsoft Defender (oder andere Anti-Malware-Software) auf dem neuesten Stand zu halten“.

Download Also laufen Windows Defender und andere Antivirus-App nicht parallel
Siehe auch:


Sicherheit, Hacker, Security, Daten, Cloud, Trojaner, Kriminalität, Exploit, Cybersecurity, Phishing, Dateien, Ransom, Ordner, Files, Folder

Sicherheit, Hacker, Security, Daten, Cloud, Trojaner, Kriminalität, Exploit, Cybersecurity, Phishing, Dateien, Ransom, Ordner, Files, Folder

.
#Fiese #PhishingMethode #umgeht #MFA #mit #Microsoft #WebView2Apps