Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen – Computer – Nieuws

Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen – Computer – Nieuws

Een beveiligingsonderzoeker heeft een phishingtechniek ontwikkeld waarmee met functies van Microsoft WebView2 inloggegevens en cookies van een slachtoffer gestolen kunnen worden. Hierdoor kan tweestapsverificatie eventueel omzeild worden.

De phishingaanval wordt door de onderzoeker WebView2-Cookie-Stealer genoemd en maakt gebruik van standaardfuncties van website-embedtool WebView2 en een malafide programma om de browsercookies van een gebruiker te stelen. Door specifieke JavaScript-code te injecteren in de loginpagina van anderzijds legitieme websites lijkt het alsof het om een gewoon loginproces gaat. Het slachtoffer logt in principe zoals normaal in, maar dan via het malafide programma van de aanvaller. Hierdoor kan bijvoorbeeld met een keylogger de toetsinput van de gebruiker geregistreerd worden.

Als het slachtoffer eenmaal is ingelogd, al dan niet na toepassing van tweestapsverificatie, kan de aanvaller cookies opgeslagen door geïnstalleerde browser kopiëren. Een malafide hacker kan deze authenticatiecookies vervolgens gebruiken voor een eigen sessie, waardoor de website de aanvaller als legitieme gebruiker denkt te herkennen. Gestolen cookies inclusief loginggegevens kunnen bijvoorbeeld via de Chrome-extensie EditThisCookie geïmporteerd worden in een nieuwe sessie.

De kwetsbaarheid berust volgens de beveiligingsonderzoeker op social engineering; het slachtoffer moet in eerste instantie de WebView2-executable starten alvorens een loginpoging bij een legitieme website gemonitord kan worden. Microsoft benadrukt in een reactie tegenover Bleeping Computer daarom dat gebruikers nooit applicaties moeten starten of installeren als deze van een onbetrouwbare bron komen.

De softwaregigant stelt ook dat gebruikers antivirussoftware zoals Microsoft Defender altijd aan moeten hebben staan om de installatie van malafide applicaties te voorkomen. Ghacks concludeerde overigens dat Defender de installatie van de demoapplicatie van de beveiligingsonderzoeker niet tegenhield, maar alleen waarschuwing gaf.

De beveiligingsonderzoeker vermomde zijn malafide applicatie als een Office-app, waarna gebruikers via een WebView2-embed officieel bij Microsoft inloggen

Bron: https://tweakers.net/nieuws/198470/onderzoeker-kan-tweestapsverificatie-omzeilen-via-webview2-om-cookies-te-stelen.html

Giliam Budel

Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.