Wer Anwendungen entwickelt und HTML-Inhalte oder komplette WebApps eingebettet einblenden möchte, greift normalerweise auf fertige Webview-Komponenten des Systems zurück. Ein universales und prinzipiell sinnvolles und sicheres Prinzip in allen Programmiersprachen und Systemen - nicht so bei Microsoft Windows.
Vor zwei Tagen hat der Security-Forscher und Hacker mr.d0x ein wenig gegen die Webview2-Komponente “geklopft”1. Das ist der “verchromte” Nachfolger, der Trident Rendering Engine, die offiziell im Internet-Explorer abgekündigt ist, inoffiziell aber weiterhin ihr Dasein in jedem Windows fristet.
Chrome-Sitzungsdaten und Cookies sind nicht nur für alle Anwendungen zugänglich. Office 365 oder Microsoft-Konto Anmeldungen können recht trivial mit nur einer Zeile2 Javascript-Code mit einem KeyLogger versehen werden. Tastatureingaben werden ausgeleitet und auch Mehr-Faktor Anmeldungen werden überwindbar wie der POC von mr.d0x eindrucksvoll demonstriert:
Davon inspiriert haben zwischenzeitlich andere begonnen, weitere Anwendungen zu identifizieren und “Auswaschungen” von Cookies und lokalen Storage Daten vorzunehmen.
Die Citrix Secure Access Technologie ist beispielsweise nichts anderes als eine EXE-Stub mit Webview2-Ansicht des Web-Interfaces. Deren Sitzungs-Cookies können mühelos von jeder beliebigen Anwendung ausgelesen und übernommen werden.3 Das ist ein fundamentaler Design-Flaw, der die komplette Citrix Secure Access Technologie ad absurdum führt.
Mir fallen eine Reihe weiterer Apps und Angriffsszenarien ein, wo derartige Webviews eine zentrale Rolle spielen. Wenig verwunderlich, dass ausgerechnet angebliche Security-Lösungen mit Ihren bunten Werbe- und Dashboards überproportional häufig betroffen sind.
Und wieder ein schönes Beispiel, wie Microsoft mit seinem proprietären System und einfach nur unterirdisch umgesetzten Basis-Technologien zusätzliche Unsicherheit produziert. Das Gleiche gilt für angebliche IT-Security Software. Schlangenöl, das niemand braucht.
Let’s face it: Die grundlegenden Schutzziele der Informationssicherheit4 lassen sich für mich mit dem zur Werbeplattform degenerierten System mit dem Namen “Windows” nicht abbilden. Jede darauf aufbauende Security-Lösung ist fundamental broken by design.
Einzige mitigierende Maßnahmen: Isolation und Offline-Betrieb. Besser wäre es jedoch dieses proprietäre Relikt aus dem letzten Jahrtausend durch moderne, freie Lösungen zu ersetzten statt immer mehr Lagen an Schlangenöl darüber zu kippen.
In diesem Sinne,
Tomas Jakobs