近日，科技媒體 bleepingcomputer 發(fā)布博文，曝光了一種名為 “Cookie-Bite” 的概念驗(yàn)證攻擊方式，該攻擊配合 Chrome 瀏覽器擴(kuò)展，可繞過多重身份驗(yàn)證（MFA）保護(hù)，持續(xù)訪問 Microsoft 365、Outlook 和 Teams 等微軟云服務(wù)，引發(fā)廣泛關(guān)注。

攻擊原理與過程

惡意擴(kuò)展程序 ：“Cookie-Bite” 攻擊由 Varonis 安全研究人員開發(fā)，通過一個(gè)惡意 Chrome 擴(kuò)展程序?qū)嵤鋵ｉT竊取 Azure Entra ID 中的 “ESTAUTH” 和 “ESTSAUTHPERSISTENT” 兩種會(huì)話 Cookie

“ESTAUTH” 是臨時(shí)會(huì)話令牌，表明用戶已通過認(rèn)證并完成 MFA，瀏覽器會(huì)話有效期最長 24 小時(shí)，關(guān)閉應(yīng)用后失效；“ESTSAUTHPERSISTENT” 則是持久性 Cookie，當(dāng)用戶選擇 “保持登錄” 或 Azure 應(yīng)用 KMSI 政策時(shí)生成，有效期長達(dá) 90 天。

監(jiān)控與竊取 ：該惡意擴(kuò)展程序內(nèi)置邏輯，監(jiān)控受害者的登錄行為，監(jiān)聽與微軟登錄 URL 匹配的標(biāo)簽更新。

一旦檢測到登錄，它會(huì)讀取 “l(fā)ogin.microsoftonline.com” 域下的所有 Cookie，篩選出目標(biāo)令牌，并通過 Google Form 將 Cookie JSON 數(shù)據(jù)發(fā)送給攻擊者。

繞過 MFA ：竊取 Cookie 后，攻擊者可通過合法工具如 “Cookie-Editor”Chrome 展，將其導(dǎo)入自己的瀏覽器，偽裝成受害者身份。

頁面刷新后，Azure 會(huì)將攻擊者會(huì)話視為完全認(rèn)證，繞過 MFA，直接獲取與受害者相同的訪問權(quán)限。

進(jìn)一步攻擊 ：攻擊者隨后可利用 Graph Explorer 枚舉用戶、角色和設(shè)備信息，通過 Microsoft Teams 發(fā)送消息或訪問聊天記錄，甚至通過 Outlook Web 讀取和下載郵件。

更嚴(yán)重的是，利用 TokenSmith、ROADtools 和 AADInternals 等工具，攻擊者還能實(shí)現(xiàn)權(quán)限提升、橫向移動(dòng)和未經(jīng)授權(quán)的應(yīng)用注冊(cè)。

Varonis 測試顯示，將該惡意擴(kuò)展打包為 CRX 文件并上傳至 VirusTotal 后，目前沒有任何安全廠商將其識(shí)別為惡意軟件，凸顯其隱秘性。此外，若攻擊者能訪問目標(biāo)設(shè)備，可通過 PowerShell 腳本和 Windows 任務(wù)計(jì)劃程序，在 Chrome 每次啟動(dòng)時(shí)自動(dòng)重新注入未簽名的擴(kuò)展程序，進(jìn)一步增強(qiáng)攻擊持久性。

該攻擊不僅針對(duì)微軟服務(wù)，還可修改后攻擊 Google、Okta 和 AWS 等其他平臺(tái)，其潛在影響范圍廣泛，嚴(yán)重威脅用戶賬號(hào)安全和數(shù)據(jù)隱私。

此次曝光的微軟云服務(wù)漏洞再次提醒我們，在享受云計(jì)算和瀏覽器擴(kuò)展帶來便利的同時(shí)，也需高度重視潛在的安全風(fēng)險(xiǎn)，加強(qiáng)安全防護(hù)措施，保護(hù)個(gè)人和企業(yè)的重要數(shù)據(jù)和隱私安全。

免責(zé)聲明：本文部分文字、圖片、音視頻來源于網(wǎng)絡(luò)不代表本站觀點(diǎn)，版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個(gè)人知識(shí)產(chǎn)權(quán)，如有異議請(qǐng)與我們聯(lián)系。

ice

收藏 海報(bào)分享