一種名為 "Cookie-Bite" 的概念驗證攻擊利用瀏覽器擴展程序從 Azure Entra ID 中竊取瀏覽器會話 Cookie，以繞過多因素身份驗證（MFA）保護，并保持對 Microsoft 365、Outlook 和 Teams 等云服務的訪問。

此次攻擊由 Varonis 安全研究人員設計，他們分享了一種概念驗證（PoC）方法，涉及一個惡意的和一個合法的 Chrome 擴展程序。然而，竊取會話 cookie 并非新鮮事，因為信息竊取程序和中間人網絡釣魚攻擊通常都會將其作為目標。

雖然通過竊取 Cookie 來入侵賬戶并非新手段，但 "Cookie-Bite" 技術中惡意 Chrome 瀏覽器擴展程序的使用因其隱秘性和持久性而值得關注。

Cookie 擴展攻擊

"Cookie-Bite" 攻擊由一個惡意的 Chrome 擴展程序構成，該擴展程序充當信息竊取器，專門針對 Azure Entra ID（微軟基于云的身份和訪問管理（IAM）服務）中的 "ESTAUTH" 和 "ESTSAUTHPERSISTNT" 這兩個 Cookie。

ESTAUTH 是一個臨時會話令牌，表明用戶已通過身份驗證并完成了多因素身份驗證。它在瀏覽器會話中有效，最長可達 24 小時，在應用程序關閉時過期。

ESTSAUTHPERSISTENT 是在用戶選擇 " 保持登錄狀態 " 或 Azure 應用 KMSI 策略時創建的會話 Cookie 的持久版本，其有效期最長可達 90 天。

應當注意的是，雖然此擴展程序是為針對微軟的會話 Cookie 而創建的，但它可以被修改以針對其他服務，包括谷歌、Okta 和 AWS 的 Cookie。

Varonis 的惡意 Chrome 擴展程序包含用于監控受害者登錄事件的邏輯，監聽與微軟登錄網址匹配的標簽頁更新。

當登錄發生時，它會讀取所有作用域為 "login.microsoftonline.com" 的 Cookie，應用過濾以提取上述兩個令牌，并通過 Google 表單將 Cookie 的 JSON 數據泄露給攻擊者。

" 在將該擴展程序打包成 CRX 文件并上傳至 VirusTotal 后，結果顯示目前沒有任何安全供應商將其檢測為惡意程序，"Varonis 警告稱。

如果攻擊者可以訪問設備，他們可以部署一個 PowerShell 腳本，通過 Windows 任務調度程序運行，在每次啟動 Chrome 時使用開發者模式自動重新注入未簽名擴展。

一旦 cookie 被盜，攻擊者就會將其注入瀏覽器，就像其他被盜的 cookie 一樣。這可以通過合法的 Cookie-Editor Chrome 擴展等工具來實現，該擴展允許威脅行為者將被盜的 cookie 導入到他們的瀏覽器 "login.microsoftonline.com" 下。

刷新頁面后，Azure 將攻擊者的會話視為完全經過身份驗證，繞過 MFA 并給予攻擊者與受害者相同的訪問級別。

從那里，攻擊者可以使用 Graph Explorer 枚舉用戶、角色和設備，發送消息或訪問 Microsoft Teams 上的聊天，并通過 Outlook Web 閱讀或下載電子郵件。

通過 TokenSmith、ROADtools 和 AADInternals 等工具，還可能進一步利用特權升級、橫向移動和未經授權的應用程序注冊。

微軟將研究人員在攻擊演示中的登錄嘗試標記為 "atRisk"，因為他們使用了 VPN，因此監控異常登錄是防止這些攻擊的關鍵。

此外，建議實施條件訪問策略（CAP），以限制對特定 IP 范圍和設備的登錄。

關于 Chrome 擴展，建議執行 Chrome ADMX 策略，只允許預先批準的擴展運行，并完全阻止用戶從瀏覽器的開發者模式。