Peritos Descobrem Falha De Segurança No Microsoft Edge
O pesquisador de segurança mr.dox desenvolveu um novo método de ataque que usa o Microsoft Edge WebView2 para roubar credenciais, ignorar a autenticação de dois fatores e acessar cookies. Esse método, chamado WebView2-Cookie-Stealer, permite que os invasores ganhem amplas oportunidades na autorização de serviços online.
Usando o WebView2, os desenvolvedores podem incorporar conteúdo da Web em seus aplicativos do Windows, e o navegador Microsoft Edge usa esse elemento para exibir esse conteúdo. A rica funcionalidade do WebView2 o torna atraente para invasores que podem carregar qualquer página autorizada para serviços populares. Uma das principais funções desse elemento é a capacidade de usar JavaScript. Este é o método que o mr.dox usa para injetar código malicioso em páginas carregadas por aplicativos que usam WebView2.
Para demonstrar o novo ataque, os pesquisadores criaram um aplicativo que carregava um formulário de autorização para um site da Microsoft com um keylogger JavaScript incorporado. Como o site real está sendo carregado, ele não será bloqueado por antivírus ou autenticação de dois fatores. O usuário não verá nenhuma diferença entre o formulário de autorização do aplicativo e a página da web carregada no navegador. Portanto, todos os dados inseridos pelo usuário são enviados automaticamente para o servidor do invasor.
O ataque em si não fornece acesso a contas protegidas por autenticação de dois fatores. No entanto, qualquer cookie pode ser roubado, incluindo cookies de autenticação. Eles são extraídos criptografados (no formato base64), mas os dados são fáceis de decodificar. O WebView2 pode ser usado para roubar todos os cookies de usuários ativos. Usando esse recurso, os invasores podem roubar dados do Chrome ou de outros navegadores: senhas, favoritos, histórico e outras informações.
A principal desvantagem desse ataque é a necessidade de executar um aplicativo malicioso no dispositivo do usuário. O acesso aos dados requer autorização ao serviço, mas sem autorização pode ocorrer roubo de cookies. O software antivírus pode bloquear a execução de aplicativos Webview2 mal-intencionados, embora o Microsoft Defender não bloqueie aplicativos keylogger criados por mr.dox.
