Sicherheitsforscher von Varonis haben eine kritische neue Angriffstechnik namens „Cookie-Bite“ identifiziert, die es Angreifern ermöglicht, die Multi-Faktor-Authentifizierung (MFA) in Microsoft-Cloud-Diensten zu umgehen. Die Methode nutzt manipulierte Browser-Erweiterungen, um Authentifizierungs-Token zu stehlen und unbefugten Zugriff auf geschäftskritische Ressourcen zu erlangen.
Technische Details der Cookie-Bite Angriffsmethode
Der Angriff basiert auf einer speziell entwickelten Chrome-Erweiterung, die gezielt zwei essenzielle Azure Entra ID Authentifizierungs-Token abfängt: ESTAUTH (24-Stunden-Token) und ESTSAUTHPERSISTENT (90-Tage-Token bei aktivierter „Angemeldet bleiben“-Option). Diese Token bestätigen eine erfolgreiche MFA-Validierung und gewähren Zugriff auf Microsoft-Dienste.
Funktionsweise und Auswirkungen des Angriffs
Die schädliche Erweiterung überwacht aktiv Anmeldeversuche bei Microsoft-Diensten. Sobald ein Benutzer sich erfolgreich authentifiziert, werden die relevanten Cookies automatisch extrahiert und über Google Forms an die Angreifer übermittelt. Diese können die gestohlenen Token mithilfe legitimer Tools wie dem Cookie-Editor für Chrome in ihre eigenen Browser importieren und erhalten dadurch vollen Zugriff auf Microsoft 365, Outlook und Teams.
Potenzielle Bedrohungen für Unternehmen
Nach erfolgreicher Kompromittierung können Angreifer:
– Unternehmensinfrastruktur via Graph Explorer analysieren
– Vertrauliche E-Mail-Kommunikation in Outlook einsehen
– Auf sensitive Teams-Konversationen zugreifen
– Privilegien durch spezialisierte Tools eskalieren
Präventive Sicherheitsmaßnahmen
Experten empfehlen folgende Schutzmaßnahmen gegen Cookie-Bite Angriffe:
– Implementation strikter Chrome-Erweiterungsrichtlinien via ADMX
– Deaktivierung des Entwicklermodus in Unternehmensbrowsern
– Einrichtung von Anomalie-Detection für Login-Versuche
– Regelmäßige Überprüfung der Cloud-Sicherheitsrichtlinien
Besonders besorgniserregend ist die Tatsache, dass die schädliche Erweiterung von gängigen Antivirenlösungen auf VirusTotal nicht erkannt wird. Die Angriffstechnik könnte potenziell auch auf andere Cloud-Dienste wie Google, Okta oder AWS adaptiert werden. Dies unterstreicht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes mit kontinuierlichem Monitoring verdächtiger Aktivitäten in der Cloud-Infrastruktur und regelmäßiger Überprüfung der implementierten Sicherheitsmaßnahmen.
