IT之家 4 月 23 日消息,科技媒体 bleepingcomputer 昨日(4 月 22 日)发布博文,介绍了“Cookie-Bite”概念验证攻击方式,配合 Chrome 浏览器扩展,可绕过多重身份验证(MFA)保护,持续访问 Microsoft 365、Outlook 和 Teams 等微软云服务。
“Cookie-Bite”概念验证攻击由 Varonis 安全研究人员开发,通过一个恶意 Chrome 扩展程序实施,专门窃取 Azure Entra ID(微软云端身份与访问管理服务)中的“ESTAUTH”和“ESTSAUTHPERSISTENT”两种会话 Cookie。
IT之家援引博文介绍,“ESTAUTH”是临时会话令牌,表明用户已通过认证并完成 MFA,浏览器会话有效期最长 24 小时,关闭应用后失效。而“ESTSAUTHPERSISTENT”则是持久性 Cookie,当用户选择“保持登录”或 Azure 应用 KMSI 政策时生成,有效期长达 90 天。
Varonis 研究人员警告,这种扩展程序不仅针对微软服务,还可修改后攻击 Google、Okta 和 AWS 等其他平台。
该恶意扩展程序内置逻辑,监控受害者的登录行为,监听与微软登录 URL 匹配的标签更新。一旦检测到登录,它会读取“login.microsoftonline.com”域下的所有 Cookie,筛选出目标令牌,并通过 Google Form 将 Cookie JSON 数据发送给攻击者。
Varonis 测试显示,将该扩展打包为 CRX 文件并上传至 VirusTotal 后,目前没有任何安全厂商将其识别为恶意软件,凸显其隐秘性。
此外,若攻击者能访问目标设备,可通过 PowerShell 脚本和 Windows 任务计划程序,在 Chrome 每次启动时自动重新注入未签名的扩展程序,进一步增强攻击持久性。
窃取 Cookie 后,攻击者可通过合法工具如“Cookie-Editor”Chrome 扩展,将其导入自己的浏览器,伪装成受害者身份。
页面刷新后,Azure 会将攻击者会话视为完全认证,绕过 MFA,直接获取与受害者相同的访问权限。
攻击者随后可利用 Graph Explorer 枚举用户、角色和设备信息,通过 Microsoft Teams 发送消息或访问聊天记录,甚至通过 Outlook Web 读取和下载邮件。
更严重的是,利用 TokenSmith、ROADtools 和 AADInternals 等工具,攻击者还能实现权限提升、横向移动和未经授权的应用注册。
