Експерти попереджають про новий спосіб обходу двофакторної автентифікації у Windows

Дослідник безпеки mr.dox розробив новий метод атаки з використанням Microsoft Edge WebView2 для крадіжки облікових даних, обходу двофакторної автентифікації та доступу до файлів cookie. Цей метод отримав назву WebView2-Cookie-Stealer, що дозволяє зловмисникам отримати широкі можливості щодо авторизації в онлайн-сервісах.

За допомогою WebView2 розробники можуть вбудовувати веб-контент у свої програми для Windows, а браузер Microsoft Edge використовує цей елемент для відображення цього контенту. Багата функціональність WebView2 робить її привабливою для зловмисників, які можуть завантажити будь-яку сторінку авторизації для популярних сервісів. Однією з основних особливостей цього елемента є можливість використання JavaScript. Саме його використовував mr.dox для впровадження шкідливого коду на сторінки, які завантажує програму, що використовує WebView2.

Для демонстрації нової атаки дослідник створив програму, яка завантажує форму авторизації на сайт Microsoft із вбудованим кейлоггером JavaScript. Оскільки завантажується реальний сайт, він не блокується антивірусом чи двофакторною автентифікацією. Користувачі не побачать жодних відмінностей між формою авторизації програми та веб-сторінкою, завантаженою у браузері. Таким чином, всі дані, які користувач вводить, автоматично відправляються на сервер зловмисника.

Сама по собі атака не надає доступу до облікових записів, захищених за допомогою двофакторної аутентифікації. Однак викрасти можна будь-які файли cookie, включаючи ті, що для автентифікації. Вони витягуються у зашифрованому вигляді (у форматі base64), але декодувати дані нескладно. WebView2 може використовуватися для крадіжки всіх файлів cookie активного користувача. Використовуючи цю можливість, зловмисник може вкрасти дані Chrome або інших браузерів: паролі, закладки, історію та іншу інформацію.

Основним недоліком цієї атаки є необхідність запуску шкідливого застосування на пристрої користувача. Для доступу до даних потрібна авторизація в сервісах, але крадіжка файлів cookie може відбуватися без цього. Антивіруси можуть запобігти запуску шкідливих програм Webview2, хоча Microsoft Defender не заблокував програму з кейлоггером, яку створив mr.dox.