Investigadores de ciberseguridad de Varonis han identificado una nueva amenaza denominada Cookie-Bite, que permite eludir los sistemas de autenticación multifactor (MFA) en servicios cloud de Microsoft. Esta técnica sofisticada utiliza extensiones maliciosas de navegador para interceptar tokens de sesión de Azure Entra ID, comprometiendo potencialmente la seguridad de recursos empresariales críticos.
Funcionamiento técnico del ataque Cookie-Bite
El vector de ataque se basa en una extensión maliciosa para Google Chrome diseñada específicamente para capturar dos tokens de autenticación cruciales: ESTAUTH y ESTSAUTHPERSISTENT. El primer token proporciona acceso temporal por 24 horas tras validar MFA, mientras que el segundo puede mantener la sesión activa hasta 90 días cuando se activa la opción «mantener sesión iniciada».
Impacto y alcance de la vulnerabilidad
La extensión maliciosa monitoriza activamente los intentos de inicio de sesión en servicios Microsoft, extrayendo automáticamente las cookies objetivo y transmitiéndolas a los atacantes mediante Google Forms. Los perpetradores pueden posteriormente inyectar estos tokens en sus propios navegadores utilizando herramientas legítimas como Cookie-Editor, obteniendo acceso completo a Microsoft 365, Outlook y Teams.
Capacidades del atacante post-compromiso
Una vez comprometida una cuenta, los atacantes pueden:
– Explorar la infraestructura corporativa mediante Graph Explorer
– Acceder a comunicaciones confidenciales en Outlook
– Infiltrarse en conversaciones privadas de Teams
– Ejecutar técnicas de escalación de privilegios
Estrategias de mitigación y protección
Para proteger las organizaciones contra ataques Cookie-Bite, los expertos recomiendan implementar:
– Políticas estrictas de gestión de extensiones mediante ADMX
– Desactivación del modo desarrollador en navegadores corporativos
– Sistemas de detección de intentos de acceso anómalos
– Revisiones periódicas de configuraciones de seguridad cloud
Lo más preocupante de esta amenaza es su capacidad para evadir la detección por soluciones antivirus en VirusTotal y su potencial adaptabilidad para atacar otros servicios cloud como Google, Okta y AWS. Esta situación enfatiza la necesidad crítica de implementar un enfoque de seguridad multicapa y mantener una vigilancia constante sobre la actividad en infraestructuras cloud corporativas. Las organizaciones deben priorizar la actualización de sus protocolos de seguridad y la formación continua de su personal en la identificación de amenazas emergentes.