Дослідники з компанії Varonis виявили критичну вразливість у системі безпеки хмарних сервісів Microsoft. Нова техніка атаки, названа Cookie-Bite, дозволяє зловмисникам обходити механізми багатофакторної автентифікації (MFA) через викрадення сесійних токенів Azure Entra ID, що створює серйозну загрозу для корпоративних даних.
Технічні особливості атаки Cookie-Bite
В основі атаки лежить спеціально розроблене шкідливе розширення для браузера Chrome, яке націлене на перехоплення двох критичних токенів автентифікації: ESTAUTH та ESTSAUTHPERSISTENT. Перший токен є тимчасовим і підтверджує успішне проходження MFA протягом 24 годин, тоді як другий може зберігати активність сесії до 90 днів при використанні опції “Stay signed in”.
Механізм проведення атаки та її наслідки
Шкідливе розширення автоматично відстежує спроби входу користувача до сервісів Microsoft. Після виявлення успішної автентифікації воно викрадає цільові cookie-файли та передає їх атакуючим через Google Forms. Використовуючи легітимні інструменти на кшталт Cookie-Editor, зловмисники можуть імпортувати викрадені токени у свій браузер, отримуючи повний доступ до корпоративних ресурсів жертви.
Критичні загрози для організацій
Успішна компрометація облікового запису відкриває зловмисникам широкі можливості:
– Дослідження корпоративної інфраструктури через Graph Explorer
– Доступ до конфіденційної комунікації в Outlook
– Перегляд корпоративних чатів Teams
– Можливість підвищення привілеїв за допомогою спеціалізованих інструментів
Рекомендації щодо захисту
Для мінімізації ризиків атаки Cookie-Bite експерти рекомендують впровадити комплекс захисних заходів:
– Налаштування суворих політик управління розширеннями Chrome через ADMX
– Деактивація режиму розробника в корпоративних браузерах
– Впровадження систем моніторингу аномальної активності
– Систематичний аудит політик безпеки хмарних сервісів
Особливе занепокоєння викликає той факт, що шкідливе розширення залишається невидимим для антивірусних рішень на VirusTotal. Більше того, подібна техніка може бути адаптована для атак на інші популярні хмарні платформи, включаючи Google Workspace, Okta та AWS. Це підкреслює необхідність постійного вдосконалення систем захисту та підвищення пильності щодо потенційних загроз у корпоративному середовищі.
