Експерти з компанії Varonis описали PoC-атаку під назвою Cookie-Bite. Вона використовує розширення браузера для крадіжки сесійних cookie з Azure Entra ID, щоб обійти багатофакторну автентифікацію і закріпитися в таких хмарних сервісах, як Microsoft 365, Outlook і Teams.

Крадіжку сесійних файлів cookie навряд чи можна назвати чимось новим, адже саме на них зазвичай націлені інфостилери та атаки типу man-in-the-middle. Однак Cookie-Bite може становити інтерес з погляду скритності та отримання сталості.

Cookie-Bite спирається на шкідливе розширення для Chrome, яке діє як інфостилер, націлюючись на cookie ESTAUTH і ESTSAUTHPERSISTENT в Azure Entra ID, хмарній службі управління ідентифікацією та доступом компанії Microsoft.

ESTAUTH є тимчасовим токеном сеансу, який вказує на те, що користувач пройшов автентифікацію і завершив перевірку багатофакторної автентифікації. Він діє в рамках сеансу браузера до 24 годин і анулюється під час закриття програми.

ESTSAUTHPERSISTENT є постійною версією сесійного cookie, яка створюється, коли користувач вибирає опцію «Stay signed in» або коли Azure застосовує політику KMSI (Keep Me Signed In), і діє до 90 днів.

Слід зазначити, що хоча розширення дослідників було створено для крадіжки cookie-файлів сервісів Microsoft, його можна модифікувати і для атак на сервіси Google, Okta або AWS.

Шкідливе розширення Varonis відстежує в браузері жертви події логіна, перевіряючи оновлення вкладок, які відповідають URL-адресам Microsoft для входу в систему. Виявивши вхід, розширення зчитує всі cookie, що відносяться до login.microsoftonline.com, застосовує фільтрацію для вилучення двох згаданих токенів і передає JSON-дані файлів cookie своїм операторам через Google Forms.

«Упакувавши розширення в CRX-файл і завантаживши його на VirusTotal, ми виявили, що жоден із виробників захисних систем наразі не визначає його як шкідливе», – зазначають дослідники.

Викравши cookie, зловмисники отримують можливість впровадити їх у браузер, наприклад, за допомогою таких інструментів, як легітимне розширення Cookie-Editor Chrome, яке дасть змогу імпортувати в браузер вкрадені cookie login.microsoftonline.com.

У результаті, після оновлення сторінка Azure вважатиме сесію зловмисників повністю автентифікованою, надаючи атакуючим той самий рівень доступу, що був у жертви. Після цього хакер може використовувати Graph Explorer для перерахування користувачів, ролей і пристроїв, надсилання повідомлень або доступу до чатів у Microsoft Teams, а також читання або завантаження пошти через Outlook Web.

Подальший розвиток атаки, включно з підвищенням привілеїв, бічним переміщенням і несанкціонованою реєстрацією застосунків, також можливий за допомогою таких інструментів, як TokenSmith, ROADtools і AADInternals.

При цьому Microsoft зазначила спроби входу, зроблені дослідниками під час демонстрації атаки, прапором «atRisk», оскільки вони використовували VPN. Тобто моніторинг аномальних спроб входу є ключовим фактором для запобігання подібних інцидентів.

Також дослідники рекомендують застосовувати політики Chrome ADMX, що дозволяють запуск тільки попередньо схвалених розширень і повністю блокують доступ користувачів до режиму розробника в браузері.