Los expertos en seguridad, entre ellos nuestro equipo de CYREBRO, destacan las ventajas de utilizar la autenticación multifactor (AMF) para obtener una capa de seguridad adicional. Aunque sigue siendo un buen consejo, una investigación reciente muestra que una nueva técnica de phishing, que roba las “cookies” de autenticación a través de las aplicaciones de Microsoft Edge WebView2, puede hacer que la AMF sea inútil si la gente no toma otras precauciones.

Descubrir un nuevo método de ataque

Los patrones de ataque de los delincuentes evolucionan constantemente, ya que buscan nuevas formas de causar estragos en los usuarios desprevenidos y de sacar provecho del mal comportamiento. En este juego continuo del gato y el ratón, los hackers comienzan a lanzar nuevos vectores de ataque, los expertos en seguridad los identifican y se solucionan las vulnerabilidades. Entonces el juego vuelve a empezar.

La amplia adopción de la AMF se debe exactamente a ese patrón. Los ciberdelincuentes robaban habitualmente las credenciales de los usuarios y las utilizaban para actividades maliciosas o las publicaban para que otros las utilizaran. Cuando las empresas empezaron a utilizar la AMF, a menos que los hackers pudieran acceder también al código de seguridad de uso único de la AMF, la información del usuario robada ya no era suficiente para acceder a las aplicaciones, los sistemas y las redes.

Aunque parecía que el gato había atrapado al ratón y que la AMF era una estrategia de seguridad sólida, un investigador de ciberseguridad que se hace llamar mr.d0x ha sido pionero en un nuevo tipo de método de phishing. El ataque, denominado WebView2-Cookie-Stealer, le permitía robar las cookies de autenticación y entrar en las cuentas, saltándose por completo el requisito de la AMF. Su punto de ataque eran las aplicaciones Microsoft Edge WebView2.

¿Qué son las aplicaciones Microsoft Edge WebView2?

Según Microsoft, “el control Microsoft Edge WebView2 permite incrustar tecnologías web (HTML, CSS y JavaScript) en sus aplicaciones nativas”. Los desarrolladores pueden utilizar esta tecnología para crear un ejecutable que se comunique con las aplicaciones web como si fuera un navegador, dando a las aplicaciones de escritorio más capacidades para interactuar con las aplicaciones web.

Un vistazo al WebView2-Cookie-Stealer

WebView2 ofrece a los desarrolladores muchas ventajas, pero les permite acceder a las cookies e introducir JavaScript en las páginas web cargadas con la aplicación. Los atacantes pueden utilizar el JavaScript malicioso como un keylogger, robando y enviando cookies de autenticación a su servidor remoto.

En el ataque de muestra de mr.d0x, el ejecutable utiliza el control WebView2 incrustado para abrir un auténtico formulario de inicio de sesión de Microsoft, capturar las pulsaciones del teclado y extraer las cookies tras la autenticación. A partir de ahí, los hackers pueden decodificar el formato base64 para revelar las cookies.

mr.d0x también demostró que las cookies de Chrome podían ser robadas y exportadas utilizando WebView2 para iniciar con una carpeta de datos de usuario preexistente que incluye marcadores, contraseñas y datos de sesión. Los agresores pueden entonces extraer las cookies a sus servidores. Lo único que le queda al atacante es abrir el formulario de inicio de sesión del usuario, importar las cookies con una extensión de Chrome y actualizar la página, momento en el que se autenticará.

Como las cookies se toman después de que la persona haya iniciado la sesión y haya utilizado la AMF, el atacante no necesita el código o la clave de la AMF. El peligro adicional es que las cookies son válidas hasta que la sesión expira o alguien detecta el ataque con una comprobación posterior a la autenticación, una práctica poco habitual en la mayoría de las empresas.

¿Cómo puedes evitar convertirte en víctima?

A fin de cuentas, el WebView2-Cookie-Stealer es simplemente un ataque de ingeniería social, por lo que las empresas deben seguir las mismas prácticas de ciberseguridad que seguirían para defenderse de cualquier ataque de phishing.

En una entrevista, Microsoft dijo a BleepingComputer: “Recomendamos a los usuarios que practiquen hábitos informáticos seguros, que eviten ejecutar o instalar aplicaciones de fuentes desconocidas o no fiables y que mantengan Microsoft Defender (u otro software antimalware) en funcionamiento y actualizado.”

El analista de inteligencia de amenazas de CYREBRO, Ziv Nachman, dice:

“WebView2 ha cerrado la brecha que el proxy inverso no pudo: la derivación auténtica y sin problemas de la AMF. Dado que este método es solo una investigación y aún no se ha abusado de él, la concienciación y el estar alerta son fundamentales. Algunas buenas prácticas son evitar la descarga de aplicaciones cuando hay un servicio web disponible y no utilizar aplicaciones con las que no estás familiarizado. Y lo que es más importante, siempre hay que analizar si tiene sentido que un sistema solicite tus credenciales en un momento determinado cuando se abre un formulario de acceso.

Siempre es más seguro descargar las aplicaciones directamente desde un sitio (por ejemplo, sólo descargar las aplicaciones de Adobe desde el sitio web de Adobe), y evitar la descarga de aplicaciones desde sitios no verificados, como cuando los hackers norcoreanos distribuyeron masivamente versiones antiguas de VLC que contenían una vulnerabilidad para su posterior aprovechamiento.”

Dado que el 98% de los ciberataques implican alguna forma de ingeniería social y que la organización promedio es blanco de más de 700 ataques de ingeniería social al año, todos los empleados deben permanecer atentos

La concienciación cibernética es una de las estrategias de protección más poderosas en el arsenal defensivo de cualquier empresa. Mientras que los mecanismos como la AMF, que en su día parecían 100% seguros, aparecen y desaparecen, la concienciación cibernética contribuye en gran medida a evitar el juego del gato y el ratón desde el principio.