Un chercheur en sécurité a présenté une nouvelle méthode de phishing qui se rend complice des applications WebView2 dans Microsoft Edge. L’attaque contourne l’authentification multifacteur et déjoue une fonction de sécurité importante.
Cela rapporte que Ordinateur qui bipe Magazine en ligne est une méthode de phishing avancée ciblant les utilisateurs de Windows. En général, l’utilisation de l’authentification multifacteur (MFA) rend l’accès aux données sensibles plus difficile, mais une fois cet obstacle surmonté, une attaque de l’extérieur est relativement facile. De la Chercheur en sécurité, Mr.d0x a maintenant introduit une méthode qui utilise les applications Microsoft Edge WebView2 pour voler les cookies d’authentification d’un utilisateur. Cependant, cela ne fonctionne que si l’attaquant a déjà obtenu les informations d’identification des comptes qu’il souhaite prendre en charge via d’autres fuites. Voler le MFA n’est que la dernière étape. Infographie : voici les lignes d’objet les plus efficaces en matière d’hameçonnage
Cette nouvelle attaque d’ingénierie sociale, également connue sous le nom de voleur de cookies WebView2, consiste en un fichier exécutable WebView2 qui, une fois lancé, ouvre le formulaire de connexion d’un site Web légitime dans l’application. La technologie WebView2 permet aux applications de charger n’importe quel site Web dans une application native et de l’afficher comme s’il était ouvert dans Microsoft Edge. WebView2 permet également d’accéder directement aux cookies et d’injecter du JavaScript dans la page web chargée par une application. Cela en fait un excellent outil pour enregistrer les frappes au clavier et voler les cookies d’authentification. mr.d0x a démontré un programme de preuve de concept pour ce type d’attaque, qui imite le formulaire de connexion Microsoft légitime à l’aide du contrôle WebView2 intégré et renifle toutes les informations d’identification nécessaires.
Une carte révélatrice
Cependant, la véritable force de ce type d’application est sa capacité à voler tous les cookies envoyés par le serveur distant après la connexion de l’utilisateur, y compris les cookies d’authentification. Comme mr.d0x l’a expliqué à BleepingComputer, l’application crée un dossier avec les données utilisateur de Chromium lorsqu’elle s’exécute pour la première fois, puis utilise ce dossier pour chaque installation ultérieure.
L’application malveillante utilise une interface WebView2 intégrée pour exporter les cookies du site Web après une authentification réussie et les renvoyer à l’attaquant. Une fois que l’attaquant a déchiffré les cookies encodés en base64, il aura un accès complet aux cookies d’authentification du site Web et pourra les utiliser pour se connecter à un compte d’utilisateur. Cependant, l’exploitabilité de cette vulnérabilité est limitée, car les victimes doivent d’abord charger un programme exécutable, que le pirate utilise ensuite pour initier l’accès.
Cela peut également se produire sans être détecté, par exemple via des pièces jointes à des e-mails, des téléchargements aléatoires sur Internet, des cracks et des warez ou des tricheurs de jeux. « Cette technique d’ingénierie sociale nécessite qu’un attaquant persuade un utilisateur de télécharger et d’exécuter une application malveillante », a déclaré Microsoft à Bleeping Computer dans un communiqué sur la nouvelle technique. Microsoft conseille : « Nous encourageons les utilisateurs à adopter des habitudes informatiques sûres, à éviter d’exécuter ou d’installer des applications provenant de sources inconnues ou non fiables, et à maintenir à jour Microsoft Defender (ou tout autre logiciel anti-malware). »
Cela fait longtemps que je n’ai pas rejoint Research Snipers. Même si j’ai travaillé comme rédacteur d’actualités technologiques à temps partiel, cela fait du bien de faire partie de l’équipe. En plus de cela, je suis en train de créer un blog basé sur la finance, en tant que rédacteur/blogueur de contenu indépendant et monteur vidéo.
