Специалисты по кибербезопасности из компании Varonis обнаружили новую технику атаки Cookie-Bite, позволяющую обходить механизмы многофакторной аутентификации (MFA) в облачных сервисах Microsoft. Атака использует вредоносное расширение браузера для кражи сессионных токенов Azure Entra ID, открывая злоумышленникам доступ к критически важным корпоративным ресурсам.
Механизм работы Cookie-Bite
В основе атаки лежит вредоносное расширение для Chrome, нацеленное на перехват двух ключевых токенов аутентификации Azure Entra ID: ESTAUTH и ESTSAUTHPERSISTENT. ESTAUTH представляет собой временный токен сессии со сроком действия до 24 часов, подтверждающий успешное прохождение MFA. ESTSAUTHPERSISTENT — его постоянная версия, действующая до 90 дней при активации опции «Stay signed in».
Процесс эксплуатации и последствия
Расширение отслеживает попытки входа пользователя в сервисы Microsoft, автоматически извлекает целевые cookie-файлы и передает их атакующим через Google Forms. Злоумышленники могут внедрить украденные токены в свой браузер с помощью легитимных инструментов, например, Cookie-Editor Chrome, получая полный доступ к учетной записи жертвы в Microsoft 365, Outlook и Teams.
Потенциальные риски
После успешной компрометации учетной записи атакующие получают возможность:
— Исследовать корпоративную инфраструктуру через Graph Explorer
— Читать конфиденциальную переписку в Outlook
— Получать доступ к корпоративным чатам Teams
— Осуществлять повышение привилегий с помощью специализированных инструментов
Меры защиты и рекомендации
Для защиты от атак типа Cookie-Bite специалисты рекомендуют:
— Внедрить строгие политики управления расширениями Chrome через ADMX
— Отключить режим разработчика в корпоративных браузерах
— Настроить мониторинг аномальных попыток входа
— Регулярно проверять и обновлять политики безопасности облачных сервисов
Особую тревогу вызывает тот факт, что вредоносное расширение не определяется антивирусными решениями на VirusTotal, а сама техника может быть адаптирована для атак на другие облачные сервисы, включая Google, Okta и AWS. Это подчеркивает важность комплексного подхода к защите корпоративных учетных данных и необходимость постоянного мониторинга подозрительной активности в облачной инфраструктуре.