Cookie-Bite: эксперты раскрыли новый метод обхода многофакторной аутентификации в Microsoft 365

CyberSecureFox 🦊

Специалисты по кибербезопасности из компании Varonis обнаружили новую технику атаки Cookie-Bite, позволяющую обходить механизмы многофакторной аутентификации (MFA) в облачных сервисах Microsoft. Атака использует вредоносное расширение браузера для кражи сессионных токенов Azure Entra ID, открывая злоумышленникам доступ к критически важным корпоративным ресурсам.

Механизм работы Cookie-Bite

В основе атаки лежит вредоносное расширение для Chrome, нацеленное на перехват двух ключевых токенов аутентификации Azure Entra ID: ESTAUTH и ESTSAUTHPERSISTENT. ESTAUTH представляет собой временный токен сессии со сроком действия до 24 часов, подтверждающий успешное прохождение MFA. ESTSAUTHPERSISTENT — его постоянная версия, действующая до 90 дней при активации опции «Stay signed in».

Процесс эксплуатации и последствия

Расширение отслеживает попытки входа пользователя в сервисы Microsoft, автоматически извлекает целевые cookie-файлы и передает их атакующим через Google Forms. Злоумышленники могут внедрить украденные токены в свой браузер с помощью легитимных инструментов, например, Cookie-Editor Chrome, получая полный доступ к учетной записи жертвы в Microsoft 365, Outlook и Teams.

Потенциальные риски

После успешной компрометации учетной записи атакующие получают возможность:

— Исследовать корпоративную инфраструктуру через Graph Explorer
— Читать конфиденциальную переписку в Outlook
— Получать доступ к корпоративным чатам Teams
— Осуществлять повышение привилегий с помощью специализированных инструментов

Меры защиты и рекомендации

Для защиты от атак типа Cookie-Bite специалисты рекомендуют:

— Внедрить строгие политики управления расширениями Chrome через ADMX
— Отключить режим разработчика в корпоративных браузерах
— Настроить мониторинг аномальных попыток входа
— Регулярно проверять и обновлять политики безопасности облачных сервисов

Особую тревогу вызывает тот факт, что вредоносное расширение не определяется антивирусными решениями на VirusTotal, а сама техника может быть адаптирована для атак на другие облачные сервисы, включая Google, Okta и AWS. Это подчеркивает важность комплексного подхода к защите корпоративных учетных данных и необходимость постоянного мониторинга подозрительной активности в облачной инфраструктуре.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.