{"id":269887,"date":"2022-06-28T14:48:05","date_gmt":"2022-06-28T12:48:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269887"},"modified":"2022-06-28T15:16:34","modified_gmt":"2022-06-28T13:16:34","slug":"windows-10-consumer-versionen-bekommen-edge-webview2-runtime","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/28\/windows-10-consumer-versionen-bekommen-edge-webview2-runtime\/","title":{"rendered":"Windows 10: Consumer-Versionen bekommen Edge WebView2 Runtime"},"content":{"rendered":"

\"Windows\"Kleiner Hinweis, weil es schon in den Kommentaren<\/a> angemerkt wurde (danke daf\u00fcr). Microsoft hat in einem Blog-Beitrag Delivering the Microsoft Edge WebView2 Runtime to Windows 10 Consumers<\/a> angek\u00fcndigt, dass man die Edge WebView2 Runtime f\u00fcr Windows 10 r\u00fcckportiert hat und in das Betriebssystem integrieren m\u00f6chte. Ist eher ein Entwicklerthema – aber ich werfe mal ein paar Informationen in die Debatte. Da darf auch nicht der Hinweis fehlen, dass Apps, die Edge WebView2 verwenden, f\u00fcr Phishing und das Abgreifen von MFA-Anmeldedaten anf\u00e4llig sind.<\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Edge WebView2 Runtime ist eine Bibliothek, die in Apps genutzt werden kann, um Webinhalte mit Edge-Funktionen anzuzeigen. Konkret: Mit Microsoft Edge WebView2 k\u00f6nnen Entwickler Webinhalte (HTML, CSS und JavaScript) in Ihre nativen Anwendungen einbetten. In Windows 11 ist die Edge WebView2 Runtime bereits Bestandteil des Betriebssystems. Entwickler, die diese Features in Windows 10-Apps verwenden wollten, mussten die Runtime separat mit der App ausliefern und installieren (siehe diese Microsoft-Seite<\/a>). Ist aber vor allem ein Entwicklerthema, wenn die Edge WebView2 Runtime von Apps verwendet wird.<\/p>\n

Um das Auseinanderlaufen dieser Voraussetzungen f\u00fcr Entwickler zu verhindern, hat Microsoft bekannt gegeben (Delivering the Microsoft Edge WebView2 Runtime to Windows 10 Consumers<\/a>), dass man diese nun auch in Windows 10 (ab Version 1809) integrieren m\u00f6chte. Dann sollte das separate Einbinden in Windows 10-Apps entfallen. <\/p>\n

Das Ganze kommt vorerst aber nur f\u00fcr Consumer, nicht in verwalteten Unternehmensumgebungen (da evaluiert man noch). Von daher stutze ich \u00fcber die R\u00fcckportierung auf Windows 10 Version 1809, welches dort lange aus dem Support gefallen ist. Nur im IoT-Bereich und LTSC gibt es noch Support. <\/p>\n

Auch das noch: Sicherheitsrisiko WebView2-Runtime<\/h2>\n

Und weil wir gerade so richtig lustig am Entwicklerfeuer sitzen und uns \u00fcber die tollen Innovationen von Microsoft freuen, kippe ich mal den Link auf den Beitrag Clever phishing method bypasses MFA using Microsoft WebView2 apps<\/a> der Kollegen von Bleeping Computer hier in die Debatte rein. Ist mir die Tage untergekommen, ohne dann ich dies hier im Blog thematisiert h\u00e4tte. <\/p>\n

Inzwischen sind gestohlene Anmeldedaten f\u00fcr Onlinekonten ja bei Cyberkriminellen sehr begehrt. Durch die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) ist es jedoch schwierig geworden, diese gestohlenen Anmeldedaten zu verwenden, es sei denn, der Angreifer hat auch Zugriff auf die MFA-Passw\u00f6rter oder Sicherheitsschl\u00fcssel des Ziels.<\/p>\n

Die Kollegen berichten im verlinkten Beitrag, dass eine raffinierte, neue Phishing-Technik von Angreifern in Microsoft Edge WebView2-Anwendungen genutzt wird, um die Authentifizierungs-Cookies der Opfer zu stehlen. Damit k\u00f6nnen Bedrohungsakteure die Multi-Faktor-Authentifizierung bei der Anmeldung bei gestohlenen Konten umgehen. Die Details lassen sich im verlinkten Beitrag der Kollegen nachlesen. <\/p>\n

Ich wei\u00df, ich bin jetzt wieder Spielverderber im \"alles ist toll Spiel\", aber steinigt mich nicht, ich bin nur der \u00dcberbringer der schlechten Botschaft. Ist aktuell auch noch kein Real World-Szenario, aber sobald etwas bekannt ist, wird das irgendwann ausgenutzt werden. Und ich m\u00f6chte nicht wissen, wie viele App-Nutzer dann auf eine vermeintlich aufpoppende Anmeldeseite Microsofts reagieren und ihre Anmeldedaten eintippen. <\/p>\n","protected":false},"excerpt":{"rendered":"

Kleiner Hinweis, weil es schon in den Kommentaren angemerkt wurde (danke daf\u00fcr). Microsoft hat in einem Blog-Beitrag Delivering the Microsoft Edge WebView2 Runtime to Windows 10 Consumers angek\u00fcndigt, dass man die Edge WebView2 Runtime f\u00fcr Windows 10 r\u00fcckportiert hat und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[4201,4378],"class_list":["post-269887","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-edge","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269887"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269887\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}