IT之家 4 月 23 日消息,科技媒體 bleepingcomputer 昨日(4 月 22 日)發(fā)布博文,介紹了“Cookie-Bite”概念驗(yàn)證攻擊方式,配合 Chrome 瀏覽器擴(kuò)展,可繞過多重身份驗(yàn)證(MFA)保護(hù),持續(xù)訪問 Microsoft 365、Outlook 和 Teams 等微軟云服務(wù)。
“Cookie-Bite”概念驗(yàn)證攻擊由 Varonis 安全研究人員開發(fā),通過一個(gè)惡意 Chrome 擴(kuò)展程序?qū)嵤瑢iT竊取 Azure Entra ID(微軟云端身份與訪問管理服務(wù))中的“ESTAUTH”和“ESTSAUTHPERSISTENT”兩種會(huì)話 Cookie。
IT之家援引博文介紹,“ESTAUTH”是臨時(shí)會(huì)話令牌,表明用戶已通過認(rèn)證并完成 MFA,瀏覽器會(huì)話有效期最長(zhǎng) 24 小時(shí),關(guān)閉應(yīng)用后失效。而“ESTSAUTHPERSISTENT”則是持久性 Cookie,當(dāng)用戶選擇“保持登錄”或 Azure 應(yīng)用 KMSI 政策時(shí)生成,有效期長(zhǎng)達(dá) 90 天。
Varonis 研究人員警告,這種擴(kuò)展程序不僅針對(duì)微軟服務(wù),還可修改后攻擊 Google、Okta 和 AWS 等其他平臺(tái)。
該惡意擴(kuò)展程序內(nèi)置邏輯,監(jiān)控受害者的登錄行為,監(jiān)聽與微軟登錄 URL 匹配的標(biāo)簽更新。一旦檢測(cè)到登錄,它會(huì)讀取“login.microsoftonline.com”域下的所有 Cookie,篩選出目標(biāo)令牌,并通過 Google Form 將 Cookie JSON 數(shù)據(jù)發(fā)送給攻擊者。
Varonis 測(cè)試顯示,將該擴(kuò)展打包為 CRX 文件并上傳至 VirusTotal 后,目前沒有任何安全廠商將其識(shí)別為惡意軟件,凸顯其隱秘性。
此外,若攻擊者能訪問目標(biāo)設(shè)備,可通過 PowerShell 腳本和 Windows 任務(wù)計(jì)劃程序,在 Chrome 每次啟動(dòng)時(shí)自動(dòng)重新注入未簽名的擴(kuò)展程序,進(jìn)一步增強(qiáng)攻擊持久性。
竊取 Cookie 后,攻擊者可通過合法工具如“Cookie-Editor”Chrome 擴(kuò)展,將其導(dǎo)入自己的瀏覽器,偽裝成受害者身份。
頁面刷新后,Azure 會(huì)將攻擊者會(huì)話視為完全認(rèn)證,繞過 MFA,直接獲取與受害者相同的訪問權(quán)限。
攻擊者隨后可利用 Graph Explorer 枚舉用戶、角色和設(shè)備信息,通過 Microsoft Teams 發(fā)送消息或訪問聊天記錄,甚至通過 Outlook Web 讀取和下載郵件。
更嚴(yán)重的是,利用 TokenSmith、ROADtools 和 AADInternals 等工具,攻擊者還能實(shí)現(xiàn)權(quán)限提升、橫向移動(dòng)和未經(jīng)授權(quán)的應(yīng)用注冊(cè)。
