近日，科技新聞界曝光了一種名為“cookie-Bite”的新型概念驗(yàn)證攻擊手段，該攻擊通過(guò)一款?lèi)阂庠O(shè)計(jì)的Chrome瀏覽器擴(kuò)展，能夠繞過(guò)微軟云服務(wù)的多重身份驗(yàn)證（MFA）機(jī)制，持續(xù)訪問(wèn)Microsoft 365、Outlook和Teams等關(guān)鍵業(yè)務(wù)平臺(tái)。

據(jù)悉，“cookie-Bite”攻擊由Varonis安全團(tuán)隊(duì)的研究人員開(kāi)發(fā)，其核心在于一個(gè)精心構(gòu)造的Chrome擴(kuò)展程序，該程序?qū)ｉT(mén)用于竊取Azure Entra ID服務(wù)中的兩種關(guān)鍵會(huì)話cookie：“ESTAUTH”和“ESTSAUTHPERSISTENT”。前者是用戶(hù)通過(guò)認(rèn)證并完成MFA后獲得的臨時(shí)會(huì)話令牌，有效期最長(zhǎng)可達(dá)24小時(shí)；后者則是在用戶(hù)選擇“保持登錄”或符合Azure應(yīng)用KMSI策略時(shí)生成的持久性cookie，有效期長(zhǎng)達(dá)90天。

Varonis研究人員指出，這款?lèi)阂鈹U(kuò)展不僅威脅著微軟的服務(wù)，還具備修改后攻擊Google、Okta和AWS等其他云平臺(tái)的潛力。該擴(kuò)展內(nèi)置了智能邏輯，能夠監(jiān)控受害者的登錄行為，一旦檢測(cè)到與微軟登錄URL匹配的標(biāo)簽更新，便立即讀取“l(fā)ogin.microsoftonline.com”域下的所有cookie，篩選出目標(biāo)令牌，并通過(guò)Google Form將cookie數(shù)據(jù)以JSON格式發(fā)送給攻擊者。

更令人擔(dān)憂的是，這款?lèi)阂鈹U(kuò)展的隱秘性極高。Varonis的測(cè)試顯示，將擴(kuò)展打包為CRX文件并上傳至VirusTotal后，竟無(wú)一安全廠商能將其識(shí)別為惡意軟件。若攻擊者能夠訪問(wèn)目標(biāo)設(shè)備，還可利用PowerShell腳本和Windows任務(wù)計(jì)劃程序，在Chrome每次啟動(dòng)時(shí)自動(dòng)重新注入未簽名的擴(kuò)展程序，從而進(jìn)一步增強(qiáng)攻擊的持久性。

一旦攻擊者成功竊取到受害者的cookie，他們便能通過(guò)合法工具如“cookie-Editor”Chrome擴(kuò)展，將這些cookie導(dǎo)入自己的瀏覽器，進(jìn)而偽裝成受害者身份進(jìn)行登錄。頁(yè)面刷新后，Azure會(huì)將攻擊者的會(huì)話視為完全認(rèn)證，無(wú)需再次進(jìn)行MFA，直接賦予攻擊者與受害者相同的訪問(wèn)權(quán)限。

利用這一權(quán)限，攻擊者可以隨意枚舉用戶(hù)、角色和設(shè)備信息，通過(guò)Microsoft Teams發(fā)送消息或訪問(wèn)聊天記錄，甚至通過(guò)Outlook Web讀取和下載郵件。這些行為不僅嚴(yán)重侵犯了用戶(hù)的隱私和安全，還可能對(duì)企業(yè)的業(yè)務(wù)運(yùn)營(yíng)和數(shù)據(jù)安全構(gòu)成巨大威脅。

更為嚴(yán)重的是，攻擊者還可以借助TokenSmith、ROADtools和AADInternals等專(zhuān)業(yè)工具，實(shí)現(xiàn)權(quán)限提升、橫向移動(dòng)和未經(jīng)授權(quán)的應(yīng)用注冊(cè)等操作。這些高級(jí)攻擊手段將進(jìn)一步擴(kuò)大攻擊者的影響范圍，加劇企業(yè)的安全風(fēng)險(xiǎn)。