“Cookie-Bite”攻击依赖于一个恶意的Chrome扩展程序,专门针对Azure Entra ID(微软云端身份与访问管理服务)中的两种会话Cookie——“ESTAUTH”和“ESTSAUTHPERSISTENT”进行窃取。其中,“ESTAUTH”是临时会话令牌,用户认证并完成MFA后,其浏览器会话有效期最长为24小时,关闭应用后失效。而“ESTSAUTHPERSISTENT”则是持久性Cookie,用户在选择“保持登录”或Azure应用KMSI时生成,有效期长达90天。
目前,该扩展程序被打包成CRX文件并上传至VirusTotal,但尚未有任何安全厂商将其识别为恶意软件,显示出其高度的隐秘性。如果攻击者能够访问目标设备,他们可以通过PowerShell脚本和Windows任务计划程序,在Chrome每次启动时自动重新注入未签名的扩展程序,进一步增强攻击的持久性。
一旦窃取到Cookie,攻击者可以使用合法工具,如“Cookie-Editor”Chrome扩展程序,将Cookie导入自己的浏览器,伪装成的身份。页面刷新后,Azure会将攻击者的会话视为完全认证的状态,绕过MFA直接获取与相同的访问权限。随后,攻击者可以利用Graph Explorer枚举用户、角色和设备信息,通过Microsoft Teams发送消息或访问聊天记录,甚至通过Outlook Web读取和下载邮件。更为严重的是,攻击者还可以使用TokenSmith、ROADtools和AADInternals等工具来提升权限、实现横向移动和未经授权的应用注册。这种攻击方式的威胁性不容小觑,各大平台和厂商需提高警惕并做好防范措施。
