![Cookie-Bite攻击:绕过多重验证,维持持久访问权限]( "Cookie-Bite攻击:绕过多重验证,维持持久访问权限")
网络安全研究人员发现一种名为"Cookie-Bite"的高级攻击技术,能使攻击者悄无声息地绕过多重身份验证(MFA)机制,并在云环境中维持持久访问权限。
![Cookie-Bite攻击:绕过多重验证,维持持久访问权限]( "Cookie-Bite攻击:绕过多重验证,维持持久访问权限")
Varonis威胁实验室披露,攻击者利用窃取的浏览器cookie(小型文本文件)冒充合法用户,无需凭证即可访问系统,这使得传统MFA防护措施完全失效。该攻击主要针对Azure Entra ID(原Azure Active Directory)使用的关键认证cookie——特别是ESTSAUTH和ESTSAUTHPERSISTENT,这些cookie用于维持经过认证的云会话,可访问Microsoft 365、Azure门户及各类企业应用。
研究人员解释:"通过劫持这些会话令牌,攻击者不仅能绕过MFA、冒充用户身份,还能在云环境中横向移动。这使它们成为信息窃取程序和威胁行为者最有价值的目标。"
![Cookie-Bite攻击:绕过多重验证,维持持久访问权限]( "Cookie-Bite攻击:绕过多重验证,维持持久访问权限")
网络犯罪分子主要通过以下方式窃取认证cookie:
1. 中间人攻击(AiTM):使用反向代理工具实时拦截cookie
2. 浏览器进程内存转储:从活动会话中提取已解密的cookie
3. 恶意浏览器扩展:直接在浏览器安全上下文中访问cookie
4. 本地cookie数据库解密:破解浏览器本地存储的加密cookie
研究人员的概念验证显示,攻击者可制作定制版Chrome扩展程序,在用户登录微软认证门户时悄无声息地窃取认证cookie。这些cookie随后会被外传到攻击者控制的服务器,并注入威胁行为者的浏览器,从而立即获取受害者云会话的访问权限。
与传统凭证窃取不同,"Cookie-Bite"攻击的持久性特征尤为危险——既不需要知晓受害者密码,也无需拦截MFA验证码。一旦部署恶意扩展,每次受害者登录时都会持续提取新的认证cookie。
研究人员指出:"该技术能持续获取有效的会话cookie,即使修改密码或撤销会话,攻击者仍能长期维持未授权访问。"更令人担忧的是,该攻击还能规避企业部署的条件访问策略(CAPs)这一额外安全层。通过收集受害者环境的域名、主机名、操作系统、IP地址和浏览器指纹等详细信息,攻击者可精准模拟合法访问模式。
成功通过认证后,攻击者将能访问Microsoft Graph Explorer等关键企业应用,进而枚举用户、查阅邮件,甚至可能在组织内提升权限。
安全专家建议采取以下防护措施应对"Cookie-Bite"攻击:
4. 实施Chrome策略,将浏览器扩展限制在批准的白名单内
随着云服务普及,这类cookie劫持技术凸显了基于认证的攻击手段正在不断演变。企业必须调整安全策略,应对这些针对云认证系统基础信任机制的高级威胁。
![Cookie-Bite攻击:绕过多重验证,维持持久访问权限]( "Cookie-Bite攻击:绕过多重验证,维持持久访问权限")
![Cookie-Bite攻击:绕过多重验证,维持持久访问权限]( "Cookie-Bite攻击:绕过多重验证,维持持久访问权限")
![Cookie-Bite攻击:绕过多重验证,维持持久访问权限]( "Cookie-Bite攻击:绕过多重验证,维持持久访问权限")
原文始发于微信公众号(FreeBuf):Cookie-Bite攻击:绕过多重验证,维持持久访问权限
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3991870.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论