{"id":5979,"date":"2022-07-06T15:40:18","date_gmt":"2022-07-06T20:40:18","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5979"},"modified":"2022-07-06T15:40:18","modified_gmt":"2022-07-06T20:40:18","slug":"bypass-a-mfa-por-medio-de-phishing-usando-aplicaciones-microsoft-webview2","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/bypass-a-mfa-por-medio-de-phishing-usando-aplicaciones-microsoft-webview2\/","title":{"rendered":"Bypass a MFA por medio de phishing usando aplicaciones Microsoft WebView2"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5979\" class=\"elementor elementor-5979\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-638ad481 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"638ad481\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-157e539\" data-id=\"157e539\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-35fd7755 elementor-widget elementor-widget-text-editor\" data-id=\"35fd7755\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<!-- wp:paragraph -->\n<p>Escrito por; Fabian Caballero<\/p>\n<p>Cyber Intelligence Engineer<\/p>\n<!-- \/wp:paragraph --><!-- wp:paragraph --><!-- \/wp:paragraph --><!-- wp:paragraph --><!-- \/wp:paragraph -->\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-1ff327d elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"1ff327d\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-9f6b14f\" data-id=\"9f6b14f\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-d7af7ca elementor-widget elementor-widget-text-editor\" data-id=\"d7af7ca\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<h6><em><strong>Por medio de una nueva t\u00e9cnica de phishing la cual aprovecha algunas aplicaciones de Microsoft Edge WebView2 para robar las cookies asociadas al proceso de autenticaci\u00f3n de la v\u00edctima, es posible que los atacantes puedan eludir el multifactorial de autenticaci\u00f3n utilizado para iniciar sesi\u00f3n en cuentas robadas.<\/strong><\/em><\/h6>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-41246c2 elementor-widget elementor-widget-text-editor\" data-id=\"41246c2\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Durante esta semana el investigador de Ciberseguridad conocido como mr.dox hizo p\u00fablico un nuevo m\u00e9todo de phishing que usa las aplicaciones de Microsoft Edge WebView2 para extraer las cookies de autenticaci\u00f3n de un usuario y autenticarse con estas evitando la protecci\u00f3n de MFA, dicho ataque denominado WebView2-Cookie-Stealer est\u00e1 compuesto por un ejecutable de WebView2 que una vez iniciado abre una p\u00e1gina de login de un sitio web legitimo dentro de la aplicaci\u00f3n afectada. Es importante resaltar que Microsoft Edge WebView2 permite realizar integraciones entre un navegador web con diversas aplicaciones nativas, esto por medio de Microsoft Edge (Chromium), siendo este el motor predeterminado, dicha tecnolog\u00eda permite a las aplicaciones integradas cargar cualquier sitio web mostr\u00e1ndolo como si se abriera en el navegador de Microsoft Edge. Esta tecnolog\u00eda permite tambi\u00e9n que un desarrollador acceda directamente a las cookies e inyecte c\u00f3digo de tipo JavaScript en la p\u00e1gina web cargada por una aplicaci\u00f3n, siendo este un foco de ataque si se tiene en cuenta que se podr\u00edan monitorear pulsaciones de teclado, robar y enviar cookies a un servidor remoto. Durante la ejecuci\u00f3n de la prueba de concepto realizada por mr.dox el ejecutable cargaba una pantalla de logueo de Microsoft Office 365 siendo este una r\u00e9plica exacta del formulario real tal y como se observa en la imagen.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-b2e431c elementor-widget elementor-widget-image\" data-id=\"b2e431c\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/07\/login.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-efac8c7 elementor-widget elementor-widget-text-editor\" data-id=\"efac8c7\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>El env\u00edo de cookies es posible debido a que la aplicaci\u00f3n genera una carpeta de datos de usuario de Chromium en su primera ejecuci\u00f3n la cual se seguir\u00e1 utilizando en futuras instalaciones, posteriormente la aplicaci\u00f3n maliciosa utiliza WebView2 para exportar las cookies asociadas a la autenticaci\u00f3n exitosa y las env\u00eda al servidor controlado por el atacante, una vez recibidas el atacante las descifra teniendo en cuenta que estas se encuentran codificadas en base64 y con esto ya podr\u00e1 utilizarlas para iniciar sesi\u00f3n. Este m\u00e9todo tambi\u00e9n fue probado en el navegador Chrome realizando el copiado del perfil de Chromium asociado al usuario, por medio de WebView2 es posible iniciar sesi\u00f3n utilizando una carpeta de datos de usuario (UDF) antigua sin la necesidad de crear una nueva, es importante resaltar que la UDF contiene todas las credenciales de acceso y las sesiones generadas por este, el proceso consiste en acceder al portal de login de una cuenta previamente robada, una vez all\u00ed se importan las cookies utilizando la extensi\u00f3n EditThisCookie, finalizado dicho proceso se actualiza la p\u00e1gina y de manera autom\u00e1tica se realiza la autenticaci\u00f3n. Como se indic\u00f3 anteriormente este m\u00e9todo se salta el MFA ya que las cookies utilizadas se roban despu\u00e9s de que el usuario ya realizo el proceso completo de autenticaci\u00f3n incluyendo los dem\u00e1s factores de autenticaci\u00f3n usados por el usuario.<\/p>\n<h5>Recomendaciones:<\/h5>\n<p><strong>\u00a0<\/strong>Si bien, es un ataque que requiere de un ejecutable malicioso para poder tener control sobre la m\u00e1quina del usuario, existe una gran posibilidad de que se utilicen aplicaciones conocidas previamente modificadas las cuales se encuentran en fuentes desconocidas, por lo que se sugiere realizar la descarga de estas \u00fanicamente en sitios oficiales, no abrir archivos desconocidos, sobre todo ejecutables, realizar escaneos preventivos sobre los archivos descargados y verificar los portales de autenticaci\u00f3n para descartar posibles suplantaciones.<\/p>\n<h6>Fuentes:<\/h6>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clever-phishing-method-bypasses-mfa-using-microsoft-webview2-apps\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/clever-phishing-method-bypasses-mfa-using-microsoft- webview2-apps\/<\/a><\/li>\n<li><a href=\"https:\/\/blog.underc0de.org\/un-metodo-inteligente-de-phishing-evita-mfa-usando-aplicaciones-microsoft-webview2\/\">https:\/\/blog.underc0de.org\/un-metodo-inteligente-de-phishing-evita-mfa-usando-aplicaciones-microsoft- webview2\/<\/a><\/li>\n<\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-a827d32 elementor-widget elementor-widget-image\" data-id=\"a827d32\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/05\/Imagen2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-4b46bba elementor-widget elementor-widget-text-editor\" data-id=\"4b46bba\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;<a href=\"mailto:Info@etek.com\">Info@etek.com<\/a><\/p>\n<p><\/p>\n<h6>&nbsp;Colombia&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Per\u00fa&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;India<\/h6>\n<p>+57 (1) 2571520&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;+51&nbsp;(1) 6124343&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<span style=\"letter-spacing: 0px;\">+91-9873451221<\/span><\/p>\n<p><\/p>\n<h6><br><\/h6>\n<p><br><\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Escrito por; Fabian Caballero Cyber Intelligence Engineer Por medio de una nueva t\u00e9cnica de phishing la cual aprovecha algunas aplicaciones de Microsoft Edge WebView2 para robar las cookies asociadas al proceso de autenticaci\u00f3n de la v\u00edctima, es posible que los atacantes puedan eludir el multifactorial de autenticaci\u00f3n utilizado para iniciar sesi\u00f3n en cuentas robadas. Durante [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5980,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5979"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5979"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5979\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}