一种被称为 “Cookie-Bite” 的复杂攻击技术，使网络犯罪分子能够在悄无声息中绕过多因素身份验证（MFA），并持续保持对云环境的访问权限。

Varonis Threat Labs 披露，攻击者利用窃取来的浏览器 Cookie 冒充合法用户，且无需使用用户的凭据，这实际上让传统的多因素身份验证保护措施形同虚设。

这种攻击的目标是关键的身份验证 Cookie，尤其是 Azure Entra ID（前身为 Azure Active Directory）所使用的 ESTSAUTH 和 ESTSAUTHPERSISTENT Cookie。这些 Cookie 可维持已通过身份验证的云会话，并允许用户访问 Microsoft 365、Azure 门户以及各种企业应用程序。研究人员解释道：“通过劫持这些会话令牌，攻击者可以绕过多因素身份验证，冒充用户，并在云环境中进行横向移动。这使得这些 Cookie 成为信息窃取者和威胁行为者最有价值的攻击目标之一。”

网络犯罪分子采用多种方法来窃取这些身份验证 Cookie，其中包括：

1.使用反向代理工具进行中间人（AITM）攻击，以实时拦截 Cookie。

2.转储浏览器进程内存，以便从活动会话中提取已解密的 Cookie。

3.利用恶意浏览器扩展程序，在浏览器的安全环境中直接访问 Cookie。

4.解密本地存储的浏览器 Cookie 数据库。

研究人员的概念验证展示了攻击者如何创建自定义的 Chrome 扩展程序，该程序可在用户每次登录 Microsoft 的身份验证门户时，悄无声息地提取身份验证 Cookie。

这些 Cookie 随后会被泄露到攻击者控制的服务器上，并可被注入到威胁行为者的浏览器中，从而使攻击者能够立即访问受害者的云会话。

无需凭据的持续访问

“Cookie-Bite” 攻击特别危险之处在于其持续性。与传统的凭据窃取不同，这种技术不需要知道受害者的密码，也无需拦截多因素身份验证代码。一旦部署了恶意扩展程序，每次受害者登录时，该程序都会继续提取新的身份验证 Cookie。

研究人员指出：“这种技术确保了能持续提取有效的会话 Cookie，即使密码被更改或会话被撤销，攻击者仍能获得长期的未经授权访问权限。”

更令人担忧的是，这种攻击能够绕过企业作为额外安全层而部署的条件访问策略（CAPs）。

攻击者可以通过收集受害者环境的详细信息（包括域名、主机名、操作系统、IP 地址和浏览器指纹），精确模仿合法的访问模式。

通过成功的身份验证，攻击者能够访问像 Microsoft Graph Explorer 这样的关键企业应用程序，从而得以枚举用户、访问电子邮件，并有可能在企业内部提升权限。

安全专家建议采取以下几种应对措施来防范 “Cookie-Bite” 攻击：

1.持续监控异常的用户行为模式和可疑的登录情况。

2.在登录事件中利用Microsoft的风险检测功能。

3.配置条件访问策略，强制要求仅从合规设备进行登录。

4.实施 Chrome 策略，将浏览器扩展程序限制在已批准的白名单范围内。

5.部署令牌保护机制，以检测和防止令牌被盗。

随着云技术应用的加速发展，这些 Cookie 劫持技术凸显了基于身份验证的攻击手段的不断演变。企业必须调整其安全态势，以应对这些针对云身份验证系统基本信任机制的复杂威胁。