SIKKERHET

Ny phishing-metode kommer seg forbi flerfaktor

WebView2 kan brukes til å stjele brukersesjoner og komme forbi MFA, har en sikkerhetsforsker dokumentert.

Illustrasjonsbilde av et phishing-angrep.
Illustrasjonsbilde av et phishing-angrep. Illustrasjon: Pixabay
30. juni 2022 - 11:30

Menneskelige feil er den største grunnen til at organisasjoner blir utsatt for angrep, som Digi har skrevet om her. Disse sikkerhetsbruddene forårsakes gjerne av phishing-angrep, hvor et offer blir bedt om å kjøre programvare eller oppgi informasjon som angriperen bruker til egen vinning.

Flerfaktor-autentisering (MFA), som mange kanskje ergrer seg over at jobben pålegger dem å bruke, er ofte det siste sikkerhetsnettet man har dersom påloggingsinformasjon skulle bli delt med en trusselaktør. En ny phishing-metode skal imidlertid kunne komme seg rundt MFA, melder Bleeping Computer

Hva er WebView2?

Angrepet bruker en WebView2-programfil som stjeler cookie-informasjonen til ofrene mens de logger inn gjennom en reell webinstans. 

WebView2 er en del av det hybride mellomstadiet mellom en webapplikasjon som kjører i en nettleser og et program som kjører direkte på maskinen. Digi har tidligere skrevet om Webview2.

Programmer i WebView2 kjøres av samme motor som Microsoft Edge (chromium), med full støtte for HTML, CSS, og JavaScript, men også med integrasjoner til operativsystemet.  

Dette tillater desverre at den som lager programfilen kan laste eksterne nettsider inn i programmet mens det også ser ut som programmet er åpnet i Microsoft Edge. På denne måten kan angriperen fremdeles ha full tilgang til å kjøre vilkårlig javascriptkode og bruke cookies. 

Sharpext kan stjele epost-data fra nettlesere og sende det til servere i Nord-Korea.
Les også

Skadevare stjeler e-post fra Gmail i Chrome og Edge – sender videre til Nord-Korea

Kommer seg forbi MFA

Det nye angrepsmetoden er utviklet av en cybersikkerhetsforsker som går under navnet mr.d0x. Han kaller angrepet WebView2-Cookie-Stealer, ettersom angrepet går ut på å stjele autentiseringscookies. 

I denne nye phishing-metoden har mr.d0x laget en WebView2-applikasjon som åpner en legitim Microsoft påloggingskjerm. Denne skjermen laster nøyaktig som den ville når du logger på andre microsoft-tjenester i nettleseren, som bildet under viser. 

Innloggingsskjermen er den samme som den reelle innloggingsskjermen til Microsoft-tjenester. <i>Skjermbilde:  Bleeping Computer</i>
Innloggingsskjermen er den samme som den reelle innloggingsskjermen til Microsoft-tjenester. Skjermbilde:  Bleeping Computer

Men i bakgrunnen har applikasjonen full kontroll over alt du skriver og, mer alvorlig, kontroll over alle cookies som tjenesten sender tilbake. Dette inkluderer autentiseringscookies som forteller serveren at du er logget inn. Ettersom du autentiserer deg mot den reelle tjenesten, vil også MFA virke som vanlig. 

En angriper vil deretter kunne importere cookiene de har stjålet inn i sin egen nettleser, og når de da går inn på siden brukereren har autentisert seg for, vil angriperen være autentisert — helt uten MFA. Inntil tjenesten da på nytt ønsker å reautentisere brukeren, vil angriperen ha full tilgang.  

Stjeler også Chrome-cookies

I tillegg til cookiene du selv mater applikasjonen med, er det mulig for angriperen å stjele tidligere autentiseringscookies fra Google Chrome. Dette er fordi WebView2 tillater å kjøre med en allerede eksisterende brukerdata-mappe, hvor cookiene ligger lagret. 

Når applikasjonen da kjører, kan angriperen enkelt nok be den bruke denne mappen og ekstrahere alle cookies i mappen og også her komme seg forbi MFA. 

Kvantedatamaskiner er en lovende teknologi, men har ennå ikke utløst sitt fulle potensiale på praktiske områder.
Les også

Google vil dele ut 50 millioner kroner til dem som kan gjøre kvantedatamaskiner praktiske

Krever medvirkning fra offeret

Til tross for det alvorlige ved at MFA kan forbigås av angriperen, kreves det fremdeles at offeret både kjører en fil og gir et ukjent program sine innloggingsdetaljer.

Mr.d0x og Microsoft sier også begge til Bleeping Computer at til tross for at angrepet er sofistikert, krever det sosial manipulasjon av offeret for at det skal virke. 

– Vi anbefaler at brukere praktiserer gode sikkerhetsvaner, unngår å kjøre eller installere programvare de ikke kjenner eller stoler på opphavet til og holder sikkerhetsprogramvaren på datamaskinen sin oppdatert, sier Microsoft til Bleeping Computer. 

Metoden har foreløpig ikke blitt observert i reelle angrep.

Flere detaljer om angrepet kan ses på Mr.d0x sin GitHub.

Selv om angrepet mot Tietoevry skal være begrenset til ett svensk datasenter, skal fire helseregioner, en rekke private selskaper og et lønnssystem som brukes av 120 statlige institusjoner være berørt. Tre uker etter angrepet, sliter fortsatt universitetssykehuset i Uppsala med etterdønningene. Bildet er fra Tietoevrys kontor i Espoo, Finland.
Les også

Hackerne fikk tak i backup: 20 år med data er trolig borte etter Tietoevry-angrepet

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.