Escrito por; Fabian Caballero

Cyber Intelligence Engineer

Por medio de una nueva técnica de phishing la cual aprovecha algunas aplicaciones de Microsoft Edge WebView2 para robar las cookies asociadas al proceso de autenticación de la víctima, es posible que los atacantes puedan eludir el multifactorial de autenticación utilizado para iniciar sesión en cuentas robadas.

Durante esta semana el investigador de Ciberseguridad conocido como mr.dox hizo público un nuevo método de phishing que usa las aplicaciones de Microsoft Edge WebView2 para extraer las cookies de autenticación de un usuario y autenticarse con estas evitando la protección de MFA, dicho ataque denominado WebView2-Cookie-Stealer está compuesto por un ejecutable de WebView2 que una vez iniciado abre una página de login de un sitio web legitimo dentro de la aplicación afectada. Es importante resaltar que Microsoft Edge WebView2 permite realizar integraciones entre un navegador web con diversas aplicaciones nativas, esto por medio de Microsoft Edge (Chromium), siendo este el motor predeterminado, dicha tecnología permite a las aplicaciones integradas cargar cualquier sitio web mostrándolo como si se abriera en el navegador de Microsoft Edge. Esta tecnología permite también que un desarrollador acceda directamente a las cookies e inyecte código de tipo JavaScript en la página web cargada por una aplicación, siendo este un foco de ataque si se tiene en cuenta que se podrían monitorear pulsaciones de teclado, robar y enviar cookies a un servidor remoto. Durante la ejecución de la prueba de concepto realizada por mr.dox el ejecutable cargaba una pantalla de logueo de Microsoft Office 365 siendo este una réplica exacta del formulario real tal y como se observa en la imagen.

El envío de cookies es posible debido a que la aplicación genera una carpeta de datos de usuario de Chromium en su primera ejecución la cual se seguirá utilizando en futuras instalaciones, posteriormente la aplicación maliciosa utiliza WebView2 para exportar las cookies asociadas a la autenticación exitosa y las envía al servidor controlado por el atacante, una vez recibidas el atacante las descifra teniendo en cuenta que estas se encuentran codificadas en base64 y con esto ya podrá utilizarlas para iniciar sesión. Este método también fue probado en el navegador Chrome realizando el copiado del perfil de Chromium asociado al usuario, por medio de WebView2 es posible iniciar sesión utilizando una carpeta de datos de usuario (UDF) antigua sin la necesidad de crear una nueva, es importante resaltar que la UDF contiene todas las credenciales de acceso y las sesiones generadas por este, el proceso consiste en acceder al portal de login de una cuenta previamente robada, una vez allí se importan las cookies utilizando la extensión EditThisCookie, finalizado dicho proceso se actualiza la página y de manera automática se realiza la autenticación. Como se indicó anteriormente este método se salta el MFA ya que las cookies utilizadas se roban después de que el usuario ya realizo el proceso completo de autenticación incluyendo los demás factores de autenticación usados por el usuario.

Recomendaciones:

 Si bien, es un ataque que requiere de un ejecutable malicioso para poder tener control sobre la máquina del usuario, existe una gran posibilidad de que se utilicen aplicaciones conocidas previamente modificadas las cuales se encuentran en fuentes desconocidas, por lo que se sugiere realizar la descarga de estas únicamente en sitios oficiales, no abrir archivos desconocidos, sobre todo ejecutables, realizar escaneos preventivos sobre los archivos descargados y verificar los portales de autenticación para descartar posibles suplantaciones.

Fuentes:

                                                                    Info@etek.com

 Colombia                                       Perú                                 India

+57 (1) 2571520                     +51 (1) 6124343                 +91-9873451221