一种名为 "Cookie-Bite" 的概念验证攻击利用浏览器扩展程序从 Azure Entra ID 中窃取浏览器会话 Cookie，以绕过多因素身份验证（MFA）保护，并保持对 Microsoft 365、Outlook 和 Teams 等云服务的访问。

此次攻击由 Varonis 安全研究人员设计，他们分享了一种概念验证（PoC）方法，涉及一个恶意的和一个合法的 Chrome 扩展程序。然而，窃取会话 cookie 并非新鲜事，因为信息窃取程序和中间人网络钓鱼攻击通常都会将其作为目标。

虽然通过窃取 Cookie 来入侵账户并非新手段，但 "Cookie-Bite" 技术中恶意 Chrome 浏览器扩展程序的使用因其隐秘性和持久性而值得关注。

Cookie 扩展攻击

"Cookie-Bite" 攻击由一个恶意的 Chrome 扩展程序构成，该扩展程序充当信息窃取器，专门针对 Azure Entra ID（微软基于云的身份和访问管理（IAM）服务）中的 "ESTAUTH" 和 "ESTSAUTHPERSISTNT" 这两个 Cookie。

ESTAUTH 是一个临时会话令牌，表明用户已通过身份验证并完成了多因素身份验证。它在浏览器会话中有效，最长可达 24 小时，在应用程序关闭时过期。

ESTSAUTHPERSISTENT 是在用户选择 " 保持登录状态 " 或 Azure 应用 KMSI 策略时创建的会话 Cookie 的持久版本，其有效期最长可达 90 天。

应当注意的是，虽然此扩展程序是为针对微软的会话 Cookie 而创建的，但它可以被修改以针对其他服务，包括谷歌、Okta 和 AWS 的 Cookie。

Varonis 的恶意 Chrome 扩展程序包含用于监控受害者登录事件的逻辑，监听与微软登录网址匹配的标签页更新。

当登录发生时，它会读取所有作用域为 "login.microsoftonline.com" 的 Cookie，应用过滤以提取上述两个令牌，并通过 Google 表单将 Cookie 的 JSON 数据泄露给攻击者。

" 在将该扩展程序打包成 CRX 文件并上传至 VirusTotal 后，结果显示目前没有任何安全供应商将其检测为恶意程序，"Varonis 警告称。

Chrome 扩展窃取微软会话 cookie

如果攻击者可以访问设备，他们可以部署一个 PowerShell 脚本，通过 Windows 任务调度程序运行，在每次启动 Chrome 时使用开发者模式自动重新注入未签名扩展。

PowerShell 攻击中使用的例子

一旦 cookie 被盗，攻击者就会将其注入浏览器，就像其他被盗的 cookie 一样。这可以通过合法的 Cookie-Editor Chrome 扩展等工具来实现，该扩展允许威胁行为者将被盗的 cookie 导入到他们的浏览器 "login.microsoftonline.com" 下。

刷新页面后，Azure 将攻击者的会话视为完全经过身份验证，绕过 MFA 并给予攻击者与受害者相同的访问级别。

注入偷来的   cookie

从那里，攻击者可以使用 Graph Explorer 枚举用户、角色和设备，发送消息或访问 Microsoft Teams 上的聊天，并通过 Outlook Web 阅读或下载电子邮件。

通过 TokenSmith、ROADtools 和 AADInternals 等工具，还可能进一步利用特权升级、横向移动和未经授权的应用程序注册。

Cookie-Bite 攻击概述

微软将研究人员在攻击演示中的登录尝试标记为 "atRisk"，因为他们使用了 VPN，因此监控异常登录是防止这些攻击的关键。

此外，建议实施条件访问策略（CAP），以限制对特定 IP 范围和设备的登录。

关于 Chrome 扩展，建议执行 Chrome ADMX 策略，只允许预先批准的扩展运行，并完全阻止用户从浏览器的开发者模式。