Een beveiligingsonderzoeker heeft een phishingtechniek ontwikkeld waarmee met functies van Microsoft WebView2 inloggegevens en cookies van een slachtoffer gestolen kunnen worden. Hierdoor kan tweestapsverificatie eventueel omzeild worden.
De phishingaanval wordt door de onderzoeker WebView2-Cookie-Stealer genoemd en maakt gebruik van standaardfuncties van website-embedtool WebView2 en een malafide programma om de browsercookies van een gebruiker te stelen. Door specifieke JavaScript-code te injecteren in de loginpagina van anderszins legitieme websites lijkt het alsof het om een gewoon loginproces gaat. Het slachtoffer logt in principe zoals normaal in, maar dan via het malafide programma van de aanvaller. Hierdoor kan bijvoorbeeld met een keylogger de toetsinput van de gebruiker geregistreerd worden.
Als het slachtoffer eenmaal is ingelogd, al dan niet na toepassing van tweestapsverificatie, kan de aanvaller door de browser opgeslagen cookies kopiëren. Een malafide hacker kan deze authenticatiecookies vervolgens gebruiken voor een eigen sessie, waardoor de website de aanvaller als legitieme gebruiker denkt te herkennen. Gestolen cookies inclusief logingegevens kunnen bijvoorbeeld via de Chrome-extensie EditThisCookie geïmporteerd worden in een nieuwe sessie.
De kwetsbaarheid berust volgens de beveiligingsonderzoeker op social engineering; het slachtoffer moet in eerste instantie de WebView2-executable starten alvorens een loginpoging bij een legitieme website gemonitord kan worden. Microsoft benadrukt in een reactie tegenover Bleeping Computer daarom dat gebruikers nooit applicaties moeten starten of installeren als deze van een onbetrouwbare bron komen.
De softwaregigant stelt ook dat gebruikers antivirussoftware zoals Microsoft Defender altijd aan moeten hebben staan om de installatie van malafide applicaties te voorkomen. Ghacks concludeerde overigens dat Defender de installatie van de demoapplicatie van de beveiligingsonderzoeker niet tegenhield, maar alleen een waarschuwing gaf.
/i/2005189580.png?f=imagenormal)