Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Con Microsoft Edge WebView2 puoi rubare cookie e bypassare la MFA

Redazione RHC : 1 Luglio 2022 07:00

Un esperto di sicurezza delle informazioni noto come mr.d0x ha sviluppato una nuova tecnica di attacco che abusa delle applicazioni Microsoft Edge WebView2 per rubare i cookie di autenticazione. In teoria, ciò ti consente di aggirare l’autenticazione a più fattori quando accedi ad account rubati.

La nuova tecnica di attacco si chiama WebView2-Cookie-Stealer e consiste in un file eseguibile WebView2 che, una volta lanciato, apre un modulo di accesso nell’applicazione a un sito legittimo. Il fatto è che Microsoft Edge WebView2 consente di incorporare un browser (con supporto completo per HTML, CSS e JavaScript) in applicazioni native utilizzando Microsoft Edge (Chromium) per il rendering. 

Utilizzando questa tecnologia, le app possono caricare qualsiasi sito all’interno dell’app stessa e visualizzarlo come se fosse aperto in Microsoft Edge.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Tuttavia, il ricercatore ha notato che WebView2 consente allo sviluppatore di accedere direttamente ai cookie e iniettare JavaScript nelle pagine caricate dall’applicazione, rendendolo un ottimo strumento per intercettare le sequenze di tasti e rubare i cookie di autenticazione.

Ad esempio, nell’exploit mr.d0x PoC, il file eseguibile apre un modulo di accesso Microsoft legittimo utilizzando un elemento WebView2 incorporato. Questo modulo di accesso ha lo stesso aspetto di quando si utilizza un browser e non contiene nulla di sospetto (errore di battitura, nomi di dominio strani e così via).

Ma poiché l’applicazione WebView2 può iniettare JavaScript nella pagina, ogni input dell’utente viene automaticamente inviato al server dell’attaccante. 

In questo caso, tutti i cookie inviati dal server remoto dopo l’accesso dell’utente, inclusi i cookie di autenticazione, possono essere sottratti.

Per fare ciò, spiega il ricercatore, l’app crea una cartella Chromium User Data la prima volta che viene avviata, quindi la utilizza per ogni installazione successiva. 

L’applicazione dannosa utilizza quindi l’interfaccia ICoreWebView2CookieManager incorporata di WebView2 per esportare i cookie ricevuti da un’autenticazione riuscita e quindi passarli a un server controllato dall’attaccante.

Una volta che l’attaccante ha decrittografato il cookie (base64), avrà pieno accesso ai cookie di autenticazione dei siti, nonché la possibilità di utilizzarli per accedere all’account di qualcun altro.

Mr.d0x scrive anche che le applicazioni WebView2 possono essere utilizzate anche per rubare i cookie da un profilo utente Chrome esistente copiandoli.

“WebView2 può essere utilizzato per rubare tutti i cookie disponibili dell’utente corrente. È stato testato con successo in Chrome — dice l’esperto. – WebView2 consente di avviare con una cartella dati utente (UDF) esistente anziché richiederne la creazione di una nuova. L’UDF contiene tutte le password, le sessioni, i segnalibri e così via. L’UDF si trova in C:\Users\\AppData\Local\Google\Chrome\User Data”.

In definitiva, un utente malintenzionato potrebbe utilizzare questi cookie semplicemente accedendo al modulo di accesso per l’account dirottato e quindi importando il cookie utilizzando qualsiasi estensione di Chrome adatta, come EditThisCookie. Dopo aver importato il cookie non resta che aggiornare la pagina per l’autenticazione sul sito.

Peggio ancora, un tale attacco bypassa anche l’autenticazione a più fattori, poiché i cookie vengono rubati dopo che l’utente ha effettuato l’accesso e completato con successo l’autenticazione a più fattori.

“Supponiamo che un utente malintenzionato configuri Github.com/login nella propria applicazione webview2 e l’utente acceda, dopodiché i cookie possono essere recuperati e passati al server dell’attaccante. Yubikey non ti salverà perché stai accedendo a un sito REALE, non a un sito di phishing

spiega mr.d0x.

In risposta, gli sviluppatori Microsoft notano che un tale attacco richiederà la preparazione e l’uso dell’ingegneria sociale, perché prima è necessario convincere l’utente a scaricare ed eseguire un file eseguibile dannoso. 

La società ha osservato che raccomanda sempre agli utenti di evitare di eseguire e installare applicazioni da fonti sconosciute o non attendibili, oltre a mantenere aggiornati Microsoft Defender o altri software di sicurezza.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

Nessuna riga di codice! Darcula inonda il mondo con il Phishing rubando 884.000 carte di credito

Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...

+358% di attacchi DDoS: l’inferno digitale si è scatenato nel 2024

Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% ris...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006