今天小編分享的互聯網經驗:Cookie-Bite攻擊PoC使用Chrome擴展竊取會話令牌,歡迎閱讀。
一種名為 "Cookie-Bite" 的概念驗證攻擊利用浏覽器擴展程式從 Azure Entra ID 中竊取浏覽器會話 Cookie,以繞過多因素身份驗證(MFA)保護,并保持對 Microsoft 365、Outlook 和 Teams 等雲服務的訪問。
此次攻擊由 Varonis 安全研究人員設計,他們分享了一種概念驗證(PoC)方法,涉及一個惡意的和一個合法的 Chrome 擴展程式。然而,竊取會話 cookie 并非新鮮事,因為信息竊取程式和中間人網絡釣魚攻擊通常都會将其作為目标。
雖然通過竊取 Cookie 來入侵賬戶并非新手段,但 "Cookie-Bite" 技術中惡意 Chrome 浏覽器擴展程式的使用因其隐秘性和持久性而值得關注。
Cookie 擴展攻擊
"Cookie-Bite" 攻擊由一個惡意的 Chrome 擴展程式構成,該擴展程式充當信息竊取器,專門針對 Azure Entra ID(微軟基于雲的身份和訪問管理(IAM)服務)中的 "ESTAUTH" 和 "ESTSAUTHPERSISTNT" 這兩個 Cookie。
ESTAUTH 是一個臨時會話令牌,表明用戶已通過身份驗證并完成了多因素身份驗證。它在浏覽器會話中有效,最長可達 24 小時,在應用程式關閉時過期。
ESTSAUTHPERSISTENT 是在用戶選擇 " 保持登錄狀态 " 或 Azure 應用 KMSI 策略時創建的會話 Cookie 的持久版本,其有效期最長可達 90 天。
應當注意的是,雖然此擴展程式是為針對微軟的會話 Cookie 而創建的,但它可以被修改以針對其他服務,包括谷歌、Okta 和 AWS 的 Cookie。
Varonis 的惡意 Chrome 擴展程式包含用于監控受害者登錄事件的邏輯,監聽與微軟登錄網址匹配的标籤頁更新。
當登錄發生時,它會讀取所有作用網域為 "login.microsoftonline.com" 的 Cookie,應用過濾以提取上述兩個令牌,并通過 Google 表單将 Cookie 的 JSON 數據洩露給攻擊者。
" 在将該擴展程式打包成 CRX 檔案并上傳至 VirusTotal 後,結果顯示目前沒有任何安全供應商将其檢測為惡意程式,"Varonis 警告稱。
Chrome 擴展竊取微軟會話 cookie
如果攻擊者可以訪問設備,他們可以部署一個 PowerShell 腳本,通過 Windows 任務調度程式運行,在每次啟動 Chrome 時使用開發者模式自動重新注入未籤名擴展。
PowerShell 攻擊中使用的例子
一旦 cookie 被盜,攻擊者就會将其注入浏覽器,就像其他被盜的 cookie 一樣。這可以通過合法的 Cookie-Editor Chrome 擴展等工具來實現,該擴展允許威脅行為者将被盜的 cookie 導入到他們的浏覽器 "login.microsoftonline.com" 下。
刷新頁面後,Azure 将攻擊者的會話視為完全經過身份驗證,繞過 MFA 并給予攻擊者與受害者相同的訪問級别。
注入偷來的 cookie
從那裡,攻擊者可以使用 Graph Explorer 枚舉用戶、角色和設備,發送消息或訪問 Microsoft Teams 上的聊天,并通過 Outlook Web 閱讀或下載電子郵件。
通過 TokenSmith、ROADtools 和 AADInternals 等工具,還可能進一步利用特權更新、橫向移動和未經授權的應用程式注冊。
Cookie-Bite 攻擊概述
微軟将研究人員在攻擊演示中的登錄嘗試标記為 "atRisk",因為他們使用了 VPN,因此監控異常登錄是防止這些攻擊的關鍵。
此外,建議實施條件訪問策略(CAP),以限制對特定 IP 範圍和設備的登錄。
關于 Chrome 擴展,建議執行 Chrome ADMX 策略,只允許預先批準的擴展運行,并完全阻止用戶從浏覽器的開發者模式。