Descubren técnica Cookie-Bite que compromete la seguridad de Microsoft 365 burlando MFA

CyberSecureFox 🦊

Descubren técnica Cookie-Bite que compromete la seguridad de Microsoft 365 burlando MFA

Investigadores de ciberseguridad de Varonis han identificado una nueva amenaza denominada Cookie-Bite, que permite eludir los sistemas de autenticación multifactor (MFA) en servicios cloud de Microsoft. Esta técnica sofisticada utiliza extensiones maliciosas de navegador para interceptar tokens de sesión de Azure Entra ID, comprometiendo potencialmente la seguridad de recursos empresariales críticos.

Funcionamiento técnico del ataque Cookie-Bite

El vector de ataque se basa en una extensión maliciosa para Google Chrome diseñada específicamente para capturar dos tokens de autenticación cruciales: ESTAUTH y ESTSAUTHPERSISTENT. El primer token proporciona acceso temporal por 24 horas tras validar MFA, mientras que el segundo puede mantener la sesión activa hasta 90 días cuando se activa la opción «mantener sesión iniciada».

Impacto y alcance de la vulnerabilidad

La extensión maliciosa monitoriza activamente los intentos de inicio de sesión en servicios Microsoft, extrayendo automáticamente las cookies objetivo y transmitiéndolas a los atacantes mediante Google Forms. Los perpetradores pueden posteriormente inyectar estos tokens en sus propios navegadores utilizando herramientas legítimas como Cookie-Editor, obteniendo acceso completo a Microsoft 365, Outlook y Teams.

Capacidades del atacante post-compromiso

Una vez comprometida una cuenta, los atacantes pueden:

– Explorar la infraestructura corporativa mediante Graph Explorer
– Acceder a comunicaciones confidenciales en Outlook
– Infiltrarse en conversaciones privadas de Teams
– Ejecutar técnicas de escalación de privilegios

Estrategias de mitigación y protección

Para proteger las organizaciones contra ataques Cookie-Bite, los expertos recomiendan implementar:

– Políticas estrictas de gestión de extensiones mediante ADMX
– Desactivación del modo desarrollador en navegadores corporativos
– Sistemas de detección de intentos de acceso anómalos
– Revisiones periódicas de configuraciones de seguridad cloud

Lo más preocupante de esta amenaza es su capacidad para evadir la detección por soluciones antivirus en VirusTotal y su potencial adaptabilidad para atacar otros servicios cloud como Google, Okta y AWS. Esta situación enfatiza la necesidad crítica de implementar un enfoque de seguridad multicapa y mantener una vigilancia constante sobre la actividad en infraestructuras cloud corporativas. Las organizaciones deben priorizar la actualización de sus protocolos de seguridad y la formación continua de su personal en la identificación de amenazas emergentes.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.