今天小编分享的互联网经验:Cookie-Bite攻击PoC使用Chrome扩展窃取会话令牌,欢迎阅读。
一种名为 "Cookie-Bite" 的概念验证攻击利用浏览器扩展程式从 Azure Entra ID 中窃取浏览器会话 Cookie,以绕过多因素身份验证(MFA)保护,并保持对 Microsoft 365、Outlook 和 Teams 等云服务的访问。
此次攻击由 Varonis 安全研究人员设计,他们分享了一种概念验证(PoC)方法,涉及一个恶意的和一个合法的 Chrome 扩展程式。然而,窃取会话 cookie 并非新鲜事,因为信息窃取程式和中间人网络钓鱼攻击通常都会将其作为目标。
虽然通过窃取 Cookie 来入侵账户并非新手段,但 "Cookie-Bite" 技术中恶意 Chrome 浏览器扩展程式的使用因其隐秘性和持久性而值得关注。
Cookie 扩展攻击
"Cookie-Bite" 攻击由一个恶意的 Chrome 扩展程式构成,该扩展程式充当信息窃取器,专门针对 Azure Entra ID(微软基于云的身份和访问管理(IAM)服务)中的 "ESTAUTH" 和 "ESTSAUTHPERSISTNT" 这两个 Cookie。
ESTAUTH 是一个临时会话令牌,表明用户已通过身份验证并完成了多因素身份验证。它在浏览器会话中有效,最长可达 24 小时,在应用程式关闭时过期。
ESTSAUTHPERSISTENT 是在用户选择 " 保持登录状态 " 或 Azure 应用 KMSI 策略时创建的会话 Cookie 的持久版本,其有效期最长可达 90 天。
应当注意的是,虽然此扩展程式是为针对微软的会话 Cookie 而创建的,但它可以被修改以针对其他服务,包括谷歌、Okta 和 AWS 的 Cookie。
Varonis 的恶意 Chrome 扩展程式包含用于监控受害者登录事件的逻辑,监听与微软登录网址匹配的标签页更新。
当登录发生时,它会读取所有作用網域为 "login.microsoftonline.com" 的 Cookie,应用过滤以提取上述两个令牌,并通过 Google 表单将 Cookie 的 JSON 数据泄露给攻击者。
" 在将该扩展程式打包成 CRX 檔案并上传至 VirusTotal 后,结果显示目前没有任何安全供应商将其检测为恶意程式,"Varonis 警告称。
Chrome 扩展窃取微软会话 cookie
如果攻击者可以访问设备,他们可以部署一个 PowerShell 脚本,通过 Windows 任务调度程式运行,在每次启动 Chrome 时使用开发者模式自动重新注入未签名扩展。
PowerShell 攻击中使用的例子
一旦 cookie 被盗,攻击者就会将其注入浏览器,就像其他被盗的 cookie 一样。这可以通过合法的 Cookie-Editor Chrome 扩展等工具来实现,该扩展允许威胁行为者将被盗的 cookie 导入到他们的浏览器 "login.microsoftonline.com" 下。
刷新页面后,Azure 将攻击者的会话视为完全经过身份验证,绕过 MFA 并给予攻击者与受害者相同的访问级别。
注入偷来的 cookie
从那里,攻击者可以使用 Graph Explorer 枚举用户、角色和设备,发送消息或访问 Microsoft Teams 上的聊天,并通过 Outlook Web 阅读或下载电子邮件。
通过 TokenSmith、ROADtools 和 AADInternals 等工具,还可能进一步利用特权更新、横向移动和未经授权的应用程式注册。
Cookie-Bite 攻击概述
微软将研究人员在攻击演示中的登录尝试标记为 "atRisk",因为他们使用了 VPN,因此监控异常登录是防止这些攻击的关键。
此外,建议实施条件访问策略(CAP),以限制对特定 IP 范围和设备的登录。
关于 Chrome 扩展,建议执行 Chrome ADMX 策略,只允许预先批准的扩展运行,并完全阻止用户从浏览器的开发者模式。
