近日，科技新聞界曝光了一種名為“cookie-Bite”的新型概念驗證攻擊手段，該攻擊通過一款惡意設(shè)計的Chrome瀏覽器擴(kuò)展，能夠繞過微軟云服務(wù)的多重身份驗證（MFA）機(jī)制，持續(xù)訪問Microsoft 365、Outlook和Teams等關(guān)鍵業(yè)務(wù)平臺。

據(jù)悉，“cookie-Bite”攻擊由Varonis安全團(tuán)隊的研究人員開發(fā)，其核心在于一個精心構(gòu)造的Chrome擴(kuò)展程序，該程序?qū)ｉT用于竊取Azure Entra ID服務(wù)中的兩種關(guān)鍵會話cookie：“ESTAUTH”和“ESTSAUTHPERSISTENT”。前者是用戶通過認(rèn)證并完成MFA后獲得的臨時會話令牌，有效期最長可達(dá)24小時；后者則是在用戶選擇“保持登錄”或符合Azure應(yīng)用KMSI策略時生成的持久性cookie，有效期長達(dá)90天。

Varonis研究人員指出，這款惡意擴(kuò)展不僅威脅著微軟的服務(wù)，還具備修改后攻擊Google、Okta和AWS等其他云平臺的潛力。該擴(kuò)展內(nèi)置了智能邏輯，能夠監(jiān)控受害者的登錄行為，一旦檢測到與微軟登錄URL匹配的標(biāo)簽更新，便立即讀取“l(fā)ogin.microsoftonline.com”域下的所有cookie，篩選出目標(biāo)令牌，并通過Google Form將cookie數(shù)據(jù)以JSON格式發(fā)送給攻擊者。

更令人擔(dān)憂的是，這款惡意擴(kuò)展的隱秘性極高。Varonis的測試顯示，將擴(kuò)展打包為CRX文件并上傳至VirusTotal后，竟無一安全廠商能將其識別為惡意軟件。若攻擊者能夠訪問目標(biāo)設(shè)備，還可利用PowerShell腳本和Windows任務(wù)計劃程序，在Chrome每次啟動時自動重新注入未簽名的擴(kuò)展程序，從而進(jìn)一步增強(qiáng)攻擊的持久性。

一旦攻擊者成功竊取到受害者的cookie，他們便能通過合法工具如“cookie-Editor”Chrome擴(kuò)展，將這些cookie導(dǎo)入自己的瀏覽器，進(jìn)而偽裝成受害者身份進(jìn)行登錄。頁面刷新后，Azure會將攻擊者的會話視為完全認(rèn)證，無需再次進(jìn)行MFA，直接賦予攻擊者與受害者相同的訪問權(quán)限。

利用這一權(quán)限，攻擊者可以隨意枚舉用戶、角色和設(shè)備信息，通過Microsoft Teams發(fā)送消息或訪問聊天記錄，甚至通過Outlook Web讀取和下載郵件。這些行為不僅嚴(yán)重侵犯了用戶的隱私和安全，還可能對企業(yè)的業(yè)務(wù)運(yùn)營和數(shù)據(jù)安全構(gòu)成巨大威脅。

更為嚴(yán)重的是，攻擊者還可以借助TokenSmith、ROADtools和AADInternals等專業(yè)工具，實現(xiàn)權(quán)限提升、橫向移動和未經(jīng)授權(quán)的應(yīng)用注冊等操作。這些高級攻擊手段將進(jìn)一步擴(kuò)大攻擊者的影響范圍，加劇企業(yè)的安全風(fēng)險。