23/04/25
Атака, получившая название Cookie-Bite, использует возможности браузерных расширений для кражи сессионных куки и получения доступа к корпоративным облачным сервисам Microsoft — включая Microsoft 365, Outlook и Teams.
Суть приёма заключается в перехвате двух конкретных куки, используемых службой идентификации Azure Entra ID, пишут в Securitylab. Временный маркер ESTAUTH, действующий до 24 часов, подтверждает прохождение аутентификации и MFA. Его более долговечная версия ESTSAUTHPERSISTENT, применяемая при политике «Оставаться в системе» (KMSI), позволяет сохранять доступ до 90 дней. Оба токена представляют ключ к учётной записи, и, если они попадают в руки злоумышленников, ограничения MFA становятся бесполезными.
Механизм атаки построен на незаметной работе расширения, которое активируется при открытии страниц с URL Microsoft, извлекает куки из домена «login[.]microsoftonline[.]com» и отправляет их в виде JSON через Google Form. Более того, расширение можно упаковать в CRX-файл и внедрить через PowerShell-скрипт, автоматически активирующий его при каждом запуске браузера в режиме разработчика.
Что особенно тревожно, результат анализа на VirusTotal показал полное отсутствие реакций со стороны антивирусных решений, что указывает на уязвимость в существующих средствах защиты. После получения куки, злоумышленник может использовать такие инструменты, как Cookie-Editor, для импорта маркеров в собственный браузер. При обновлении страницы Azure расценивает сессию как полностью авторизованную — злоумышленник получает те же привилегии, что и жертва.
Это открывает путь к широкому спектру действий: просмотр и скачивание писем, переписка в Teams, изучение прав и устройств через Graph Explorer. При наличии соответствующих инструментов — таких как TokenSmith, ROADtools и AADInternals — возможны и более продвинутые шаги: повышение привилегий, боковое перемещение в инфраструктуре и регистрация новых приложений от имени пользователя.
Microsoft во время демонстрации атаки определила попытки входа как подозрительные из-за использования VPN, что указывает на значимость мониторинга аномальной активности. В качестве контрмер эксперты советуют жёстко ограничивать список допустимых расширений через ADMX-политику Chrome, блокировать доступ к режиму разработчика, а также применять условные политики доступа, разрешая логины только с доверенных IP-адресов и устройств.
