本文来自IT之家(www.ithome.com),作者 | 故渊。
IT之家4月23日消息,科技媒体bleepingcomputer昨日(4月22日)发布博文,介绍了“Cookie-Bite”概念验证攻击方式,配合Chrome浏览器扩展,可绕过多重身份验证(MFA)保护,持续访问Microsoft 365、Outlook和Teams等微软云服务。
“Cookie-Bite”概念验证攻击由Varonis安全研究人员开发,通过一个恶意Chrome扩展程序实施,专门窃取Azure Entra ID(微软云端身份与访问管理服务)中的“ESTAUTH”和“ESTSAUTHPERSISTENT”两种会话Cookie。
IT之家援引博文介绍,“ESTAUTH”是临时会话令牌,表明用户已通过认证并完成MFA,浏览器会话有效期最长24小时,关闭应用后失效。而“ESTSAUTHPERSISTENT”则是持久性Cookie,当用户选择“保持登录”或Azure应用KMSI政策时生成,有效期长达90天。
Varonis研究人员警告,这种扩展程序不仅针对微软服务,还可修改后攻击Google、Okta和AWS等其他平台。
该恶意扩展程序内置逻辑,监控受害者的登录行为,监听与微软登录URL匹配的标签更新。一旦检测到登录,它会读取“login.microsoftonline.com”域下的所有Cookie,筛选出目标令牌,并通过Google Form将Cookie JSON数据发送给攻击者。
Varonis测试显示,将该扩展打包为CRX文件并上传至VirusTotal后,目前没有任何安全厂商将其识别为恶意软件,凸显其隐秘性。
此外,若攻击者能访问目标设备,可通过PowerShell脚本和Windows任务计划程序,在Chrome每次启动时自动重新注入未签名的扩展程序,进一步增强攻击持久性。
窃取Cookie后,攻击者可通过合法工具如“Cookie-Editor”Chrome扩展,将其导入自己的浏览器,伪装成受害者身份。
页面刷新后,Azure会将攻击者会话视为完全认证,绕过MFA,直接获取与受害者相同的访问权限。
攻击者随后可利用Graph Explorer枚举用户、角色和设备信息,通过Microsoft Teams发送消息或访问聊天记录,甚至通过Outlook Web读取和下载邮件。
更严重的是,利用TokenSmith、ROADtools和AADInternals等工具,攻击者还能实现权限提升、横向移动和未经授权的应用注册。
