IT之家4月23日消息,科技媒體 bleepingcomputer 昨日(4 月 22 日)發布博文,介紹了“Cookie-Bite”概念驗證攻擊方式,配合 Chrome 瀏覽器擴展,可繞過多重身份驗證(MFA)保護,持續訪問 Microsoft 365、Outlook 和 Teams 等微軟云服務。
“Cookie-Bite”概念驗證攻擊由 Varonis 安全研究人員開發,通過一個惡意 Chrome 擴展程序實施,專門竊取 Azure Entra ID(微軟云端身份與訪問管理服務)中的“ESTAUTH”和“ESTSAUTHPERSISTENT”兩種會話 Cookie。
IT之家援引博文介紹,“ESTAUTH”是臨時會話令牌,表明用戶已通過認證并完成 MFA,瀏覽器會話有效期最長 24 小時,關閉應用后失效。而“ESTSAUTHPERSISTENT”則是持久性 Cookie,當用戶選擇“保持登錄”或 Azure 應用 KMSI 政策時生成,有效期長達 90 天。
Varonis 研究人員警告,這種擴展程序不僅針對微軟服務,還可修改后攻擊 Google、Okta 和 AWS 等其他平臺。
該惡意擴展程序內置邏輯,監控受害者的登錄行為,監聽與微軟登錄 URL 匹配的標簽更新。一旦檢測到登錄,它會讀取“login.microsoftonline.com”域下的所有 Cookie,篩選出目標令牌,并通過 Google Form 將 Cookie JSON 數據發送給攻擊者。
Varonis 測試顯示,將該擴展打包為 CRX 文件并上傳至 VirusTotal 后,目前沒有任何安全廠商將其識別為惡意軟件,凸顯其隱秘性。
此外,若攻擊者能訪問目標設備,可通過 PowerShell 腳本和 Windows 任務計劃程序,在 Chrome 每次啟動時自動重新注入未簽名的擴展程序,進一步增強攻擊持久性。
竊取 Cookie 后,攻擊者可通過合法工具如“Cookie-Editor”Chrome 擴展,將其導入自己的瀏覽器,偽裝成受害者身份。
頁面刷新后,Azure 會將攻擊者會話視為完全認證,繞過 MFA,直接獲取與受害者相同的訪問權限。
攻擊者隨后可利用 Graph Explorer 枚舉用戶、角色和設備信息,通過 Microsoft Teams 發送消息或訪問聊天記錄,甚至通過 Outlook Web 讀取和下載郵件。
更嚴重的是,利用 TokenSmith、ROADtools 和 AADInternals 等工具,攻擊者還能實現權限提升、橫向移動和未經授權的應用注冊。
本文鏈接:http://www.wbe-yiqi.com/news-14-8820-0.html微軟云服務漏洞曝光:Chrome擴展成攻擊利器,劫持賬號竊取敏感數據
聲明:本網頁內容由互聯網博主自發貢獻,不代表本站觀點,本站不承擔任何法律責任。天上不會到餡餅,請大家謹防詐騙!若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。
上一篇:預告:央行15:00舉行新聞發布會,介紹《上海國際金融中心進一步提升跨境金融服務便利化行動方案》有關情況
下一篇:中信銀行新行長上任!
點擊右上角
微信好友
朋友圈
點擊瀏覽器下方“
”分享微信好友Safari瀏覽器請點擊“
”按鈕
點擊右上角
QQ
點擊瀏覽器下方“”分享QQ好友Safari瀏覽器請點擊“”按鈕
