【安全资讯】Cookie-Bite攻击利用Chrome扩展窃取会话令牌

概要：

近期，网络安全研究人员揭示了一种名为“Cookie-Bite”的攻击概念验证（PoC），该攻击利用浏览器扩展窃取Azure Entra ID的会话cookie，从而绕过多因素认证（MFA）保护，持续访问Microsoft 365、Outlook和Teams等云服务。这一攻击方式虽然并不新颖，但其隐蔽性和持久性引发了广泛关注。

主要内容：

Cookie-Bite攻击通过一个恶意的Chrome扩展实施，专门针对Azure Entra ID中的‘ESTAUTH’和‘ESTSAUTHPERSISTNT’ cookie。‘ESTAUTH’是一个短暂的会话令牌，表示用户已完成MFA认证，通常在浏览器会话中有效24小时；而‘ESTSAUTHPERSISTNT’则是持久会话cookie，用户选择“保持登录”时生成，有效期可达90天。虽然此扩展最初是针对Microsoft的会话cookie设计，但其逻辑可以轻松修改以攻击其他服务，如Google和AWS。

攻击者通过监控受害者的登录事件，捕获与Microsoft登录URL匹配的标签更新。一旦用户登录，恶意扩展会读取所有与‘login.microsoftonline.com’相关的cookie，并将窃取的cookie数据通过Google表单发送给攻击者。Varonis的研究显示，该恶意扩展在VirusTotal上未被任何安全厂商识别为恶意，显示出其隐蔽性。

一旦窃取cookie，攻击者可以利用工具如Cookie-Editor将其注入到浏览器中，从而绕过MFA，获得与受害者相同的访问权限。此后，攻击者可以使用Graph Explorer枚举用户、角色和设备，访问Microsoft Teams的聊天记录，甚至读取或下载Outlook邮件。为了防范此类攻击，建议实施条件访问策略（CAP），限制特定IP范围和设备的登录，并加强对Chrome扩展的管理，确保仅允许预先批准的扩展运行。