ice 近日,科技媒体 bleepingcomputer 发布博文,曝光了一种名为 “Cookie-Bite” 的概念验证攻击方式,该攻击配合 Chrome 浏览器扩展,可绕过多重身份验证(MFA)保护,持续访问 Microsoft 365、Outlook 和 Teams 等微软云服务,引发广泛关注。
攻击原理与过程
恶意扩展程序 :“Cookie-Bite” 攻击由 Varonis 安全研究人员开发,通过一个恶意 Chrome 扩展程序实施,其专门窃取 Azure Entra ID 中的 “ESTAUTH” 和 “ESTSAUTHPERSISTENT” 两种会话 Cookie
“ESTAUTH” 是临时会话令牌,表明用户已通过认证并完成 MFA,浏览器会话有效期最长 24 小时,关闭应用后失效;“ESTSAUTHPERSISTENT” 则是持久性 Cookie,当用户选择 “保持登录” 或 Azure 应用 KMSI 政策时生成,有效期长达 90 天。
监控与窃取 :该恶意扩展程序内置逻辑,监控受害者的登录行为,监听与微软登录 URL 匹配的标签更新。
一旦检测到登录,它会读取 “login.microsoftonline.com” 域下的所有 Cookie,筛选出目标令牌,并通过 Google Form 将 Cookie JSON 数据发送给攻击者。
绕过 MFA :窃取 Cookie 后,攻击者可通过合法工具如 “Cookie-Editor”Chrome 展,将其导入自己的浏览器,伪装成受害者身份。
页面刷新后,Azure 会将攻击者会话视为完全认证,绕过 MFA,直接获取与受害者相同的访问权限。
进一步攻击 :攻击者随后可利用 Graph Explorer 枚举用户、角色和设备信息,通过 Microsoft Teams 发送消息或访问聊天记录,甚至通过 Outlook Web 读取和下载邮件。
更严重的是,利用 TokenSmith、ROADtools 和 AADInternals 等工具,攻击者还能实现权限提升、横向移动和未经授权的应用注册。
Varonis 测试显示,将该恶意扩展打包为 CRX 文件并上传至 VirusTotal 后,目前没有任何安全厂商将其识别为恶意软件,凸显其隐秘性。此外,若攻击者能访问目标设备,可通过 PowerShell 脚本和 Windows 任务计划程序,在 Chrome 每次启动时自动重新注入未签名的扩展程序,进一步增强攻击持久性。
该攻击不仅针对微软服务,还可修改后攻击 Google、Okta 和 AWS 等其他平台,其潜在影响范围广泛,严重威胁用户账号安全和数据隐私。
此次曝光的微软云服务漏洞再次提醒我们,在享受云计算和浏览器扩展带来便利的同时,也需高度重视潜在的安全风险,加强安全防护措施,保护个人和企业的重要数据和隐私安全。
免责声明:本文部分文字、图片、音视频来源于网络不代表本站观点,版权归版权所有人所有。本文无意侵犯媒体或个人知识产权,如有异议请与我们联系。
