Эксперты из компании Varonis описали PoC-атаку под названием Cookie-Bite, использующую расширения браузера для кражи сессионных cookie из Azure Entra ID. Эта атака позволяет обойти многофакторную аутентификацию и обеспечивает доступ к таким облачным сервисам, как Microsoft 365, Outlook и Teams. Хотя подход к краже cookie не нов, Cookie-Bite отличается скрытностью и долговечностью.
Cookie-Bite основана на вредоносном расширении для Chrome, нацеленном на cookie ESTAUTH и ESTSAUTHPERSISTENT в Azure Entra ID. Первый тип cookie представляет собой временный токен сеанса, который аннулируется при закрытии браузера, а второй — постоянный и остается в системе до 90 дней при включенной опции «Stay signed in». Исследователи подчеркивают, что данная уязвимость не ограничивается только сервисами Microsoft и может быть адаптирована для атак на Google, Okta и AWS.
Вредоносное расширение отслеживает действия пользователей в браузере, фокусируясь на URL-адресах для входа в Microsoft. Оно сообщает операторам о найденных токенах через Google Forms. После кражи cookie злоумышленники могут использовать их для аутентификации в системе, включая доступ к Microsoft Teams и Outlook. При этом возможность последующих действий, таких как повышение привилегий и боковое перемещение, также отмечается.
Microsoft отмечает, что попытки входа, осуществленные исследователями, были помечены как «atRisk» из-за использования VPN, подчеркивая важность мониторинга аномальных действий для предотвращения подобных инцидентов. В качестве рекомендаций Varonis рекомендует применять политики Chrome, ограничивающие установку неутвержденных расширений. Также сообщается о проблемах, связанных с фишингом, когда мошенники создают поддельные уведомления, выдавая себя за сервисы Google, используя методы авторизации, которые проходят стандартные проверки DKIM.
Согласно исследованию, Google признала уязвимости своих систем и в настоящее время работает над устранением рисков, возникающих из-за недочетов в реализации OAuth. Ведущий разработчик Ethereum Name Service, Ник Джонсон, также обнаружил фишинговую атаку, позволившую мошенникам успешно обмануть системы безопасности Google, что подчеркивает необходимость повышенного внимания к вопросам защиты данных и улучшения существующих механизмов безопасности.