一種名為“Cookie-Bite”的概念驗證攻擊利用瀏覽器擴展程序從 Azure Entra ID 中竊取瀏覽器會話 Cookie，以繞過多因素身份驗證（MFA）保護，并保持對 Microsoft 365、Outlook 和 Teams 等云服務的訪問。

此次攻擊由 Varonis 安全研究人員設計，他們分享了一種概念驗證（PoC）方法，涉及一個惡意的和一個合法的 Chrome 擴展程序。然而，竊取會話 cookie 并非新鮮事，因為信息竊取程序和中間人網絡釣魚攻擊通常都會將其作為目標。

雖然通過竊取 Cookie 來入侵賬戶并非新手段，但“Cookie-Bite”技術中惡意 Chrome 瀏覽器擴展程序的使用因其隱秘性和持久性而值得關注。

Cookie擴展攻擊

“Cookie-Bite”攻擊由一個惡意的 Chrome 擴展程序構成，該擴展程序充當信息竊取器，專門針對 Azure Entra ID（微軟基于云的身份和訪問管理（IAM）服務）中的“ESTAUTH”和“ESTSAUTHPERSISTNT”這兩個 Cookie。

ESTAUTH 是一個臨時會話令牌，表明用戶已通過身份驗證并完成了多因素身份驗證。它在瀏覽器會話中有效，最長可達 24 小時，在應用程序關閉時過期。

ESTSAUTHPERSISTENT 是在用戶選擇“保持登錄狀態”或 Azure 應用 KMSI 策略時創建的會話 Cookie 的持久版本，其有效期最長可達 90 天。

應當注意的是，雖然此擴展程序是為針對微軟的會話 Cookie 而創建的，但它可以被修改以針對其他服務，包括谷歌、Okta 和 AWS 的 Cookie。

Varonis 的惡意 Chrome 擴展程序包含用于監控受害者登錄事件的邏輯，監聽與微軟登錄網址匹配的標簽頁更新。

當登錄發生時，它會讀取所有作用域為“login.microsoftonline.com”的 Cookie，應用過濾以提取上述兩個令牌，并通過 Google 表單將 Cookie 的 JSON 數據泄露給攻擊者。

“在將該擴展程序打包成 CRX 文件并上傳至 VirusTotal 后，結果顯示目前沒有任何安全供應商將其檢測為惡意程序，”Varonis 警告稱。

Chrome擴展竊取微軟會話cookie

如果攻擊者可以訪問設備，他們可以部署一個PowerShell腳本，通過Windows任務調度程序運行，在每次啟動Chrome時使用開發者模式自動重新注入未簽名擴展。

PowerShell攻擊中使用的例子

一旦cookie被盜，攻擊者就會將其注入瀏覽器，就像其他被盜的cookie一樣。這可以通過合法的Cookie-Editor Chrome擴展等工具來實現，該擴展允許威脅行為者將被盜的cookie導入到他們的瀏覽器“login.microsoftonline.com”下。

刷新頁面后，Azure將攻擊者的會話視為完全經過身份驗證，繞過MFA并給予攻擊者與受害者相同的訪問級別。

注入偷來的 cookie

從那里，攻擊者可以使用Graph Explorer枚舉用戶、角色和設備，發送消息或訪問Microsoft Teams上的聊天，并通過Outlook Web閱讀或下載電子郵件。

通過TokenSmith、ROADtools和AADInternals等工具，還可能進一步利用特權升級、橫向移動和未經授權的應用程序注冊。

Cookie-Bite攻擊概述

微軟將研究人員在攻擊演示中的登錄嘗試標記為“atRisk”，因為他們使用了VPN，因此監控異常登錄是防止這些攻擊的關鍵。

此外，建議實施條件訪問策略（CAP），以限制對特定IP范圍和設備的登錄。

關于Chrome擴展，建議執行Chrome ADMX策略，只允許預先批準的擴展運行，并完全阻止用戶從瀏覽器的開發者模式。

參考及來源：https://www.bleepingcomputer.com/news/security/cookie-bite-attack-poc-uses-chrome-extension-to-steal-session-tokens/