近日,科技新聞界曝光了一種名為“cookie-Bite”的新型概念驗證攻擊手段,該攻擊通過一款惡意設計的Chrome瀏覽器擴展,能夠繞過微軟云服務的多重身份驗證(MFA)機制,持續訪問Microsoft 365、Outlook和Teams等關鍵業務平臺。
據悉,“cookie-Bite”攻擊由Varonis安全團隊的研究人員開發,其核心在于一個精心構造的Chrome擴展程序,該程序專門用于竊取Azure Entra ID服務中的兩種關鍵會話cookie:“ESTAUTH”和“ESTSAUTHPERSISTENT”。前者是用戶通過認證并完成MFA后獲得的臨時會話令牌,有效期最長可達24小時;后者則是在用戶選擇“保持登錄”或符合Azure應用KMSI策略時生成的持久性cookie,有效期長達90天。
Varonis研究人員指出,這款惡意擴展不僅威脅著微軟的服務,還具備修改后攻擊Google、Okta和AWS等其他云平臺的潛力。該擴展內置了智能邏輯,能夠監控受害者的登錄行為,一旦檢測到與微軟登錄URL匹配的標簽更新,便立即讀取“login.microsoftonline.com”域下的所有cookie,篩選出目標令牌,并通過Google Form將cookie數據以JSON格式發送給攻擊者。
更令人擔憂的是,這款惡意擴展的隱秘性極高。Varonis的測試顯示,將擴展打包為CRX文件并上傳至VirusTotal后,竟無一安全廠商能將其識別為惡意軟件。若攻擊者能夠訪問目標設備,還可利用PowerShell腳本和Windows任務計劃程序,在Chrome每次啟動時自動重新注入未簽名的擴展程序,從而進一步增強攻擊的持久性。
一旦攻擊者成功竊取到受害者的cookie,他們便能通過合法工具如“cookie-Editor”Chrome擴展,將這些cookie導入自己的瀏覽器,進而偽裝成受害者身份進行登錄。頁面刷新后,Azure會將攻擊者的會話視為完全認證,無需再次進行MFA,直接賦予攻擊者與受害者相同的訪問權限。
利用這一權限,攻擊者可以隨意枚舉用戶、角色和設備信息,通過Microsoft Teams發送消息或訪問聊天記錄,甚至通過Outlook Web讀取和下載郵件。這些行為不僅嚴重侵犯了用戶的隱私和安全,還可能對企業的業務運營和數據安全構成巨大威脅。
更為嚴重的是,攻擊者還可以借助TokenSmith、ROADtools和AADInternals等專業工具,實現權限提升、橫向移動和未經授權的應用注冊等操作。這些高級攻擊手段將進一步擴大攻擊者的影響范圍,加劇企業的安全風險。
