Microsoft WebView2 kimlik avı tekniği MFA’yı atlayabilir ve oturum açma tanımlama bilgilerini çalabilir



Bir siber güvenlik araştırmacısı, Microsoft Corp.’un Edge WebView2’si aracılığıyla çok faktörlü kimlik doğrulamasını atlayabilen ve oturum açma tanımlama bilgilerini çalabilen yeni bir kimlik avı tekniği geliştirdi.

WebView2, bir işleme motoru olarak Microsoft Edge kullanan Microsoft 365 masaüstü uygulamalarında web tabanlı özellikler sağlayan bir program çalışırken yürütülen bir çalışma zamanı veya yazılım ve talimatlardır. Detaylandırıldığı gibi 21 Haziran’da mr.d0x tarafından “WebView2-Cookie-Stealer” olarak adlandırılan kavram kanıtı kimlik avı saldırısı, WebView 2 kullanan bir uygulamaya yüklenen web sitelerine kötü amaçlı JavaScript kodu enjekte edilmesini içerir.

Bir örnekte, mrd0x, WebView2 kullanılarak yüklenen meşru bir Microsoft oturum açma formuna bir JavaScript keylogger enjekte etti. Sayfanın kendisi normal şekilde işlenir, ancak arka planda çalışan JavaScript ile kod, kullanıcının yazdığı her şeyi yakalar ve belirlenen web sunucusuna geri gönderir.

Yöntem, keylogging’de durmaz. WebView2’nin JavaScript’i kabul etme biçiminden yararlanan mrd0x, bir kullanıcı oturum açtıktan sonra, kimlik doğrulama kodları dahil olmak üzere uzak sunucu tarafından gönderilen tüm çerezleri de çalabildi.

Mrd0x ayrıca WebView2’nin Google LLC’nin Chrome’unda mevcut kullanıcı için mevcut tüm çerezleri çalmak için kullanılabileceğini de açıklıyor. WebView2, bir saldırganın yeni bir tane oluşturmak yerine mevcut bir kullanıcı tarihi klasörüyle başlatılmasına izin verir. UDF, kullanıcıyla ilgili tüm parolaları, oturumları ve yer imlerini içerir.

Metodoloji, “EditThisCookie”, Bleeping Computer gibi basit bir Chrome uzantısı kullanılarak çerezleri çalmak ve içe aktarmak için kolayca kullanılabilir. rapor edildi Pazar. Bununla birlikte, daha ilgili olan yön, saldırı metodolojisinin MFA’yı, tek seferlik şifreleri ve güvenlik anahtarlarını tamamen atlamasıdır, çünkü kullanıcı oturum açtıktan sonra çerezler çalınır.

Güvenlik bilinci eğitimi şirketi KnowBe4 Inc.’in güvenlik bilinci savunucusu Erich Kron, SiliconANGLE’a verdiği demeçte, “Bu saldırı, yararlı olmakla birlikte, MFA’nın kimlik avı saldırılarına karşı gümüş bir kurşun olmadığını gösteriyor.” “Hesapları güvence altına almak ve kuruluşları saldırılara karşı korumak için başka önlemler alınmalıdır.”

Kron, saldırının bir insanın tehlikeli bir eylemde bulunmasına – internetten indirilen bir programı çalıştırarak – çalışmaya başlamasına dayandığını açıkladı. Bu, ortalama bir kullanıcı için daha kolay gizlenebilen bir yöntem gerektirenden çok daha az tehdit oluşturuyor. Bu, özellikle korsan yazılım veya oyun hileleri indiren kişileri ortaya çıkarır.

Kron, “Bu tür saldırılara karşı korunmak için, onaylanmamış yazılımları veya tarayıcı eklentilerini indirmeye veya çalıştırmaya karşı bir politikaya sahip olmak ve kullanıcıları bu tür yazılımları çalıştırmanın tehlikeleri konusunda eğitmek, kuruluş için riskte önemli bir azalma sağlayabilir.” katma.

Resim: mr.d0x

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.



Kaynak : https://siliconangle.com/2022/06/27/microsoft-webview2-phishing-technique-can-bypass-mfa-steal-login-cookies/

Yorum yapın