一种被称为 “Cookie-Bite” 的复杂攻击技术,使网络犯罪分子能够在悄无声息中绕过多因素身份验证(MFA),并持续保持对云环境的访问权限。
Varonis Threat Labs 披露,攻击者利用窃取来的浏览器 Cookie 冒充合法用户,且无需使用用户的凭据,这实际上让传统的多因素身份验证保护措施形同虚设。
这种攻击的目标是关键的身份验证 Cookie,尤其是 Azure Entra ID(前身为 Azure Active Directory)所使用的 ESTSAUTH 和 ESTSAUTHPERSISTENT Cookie。这些 Cookie 可维持已通过身份验证的云会话,并允许用户访问 Microsoft 365、Azure 门户以及各种企业应用程序。
研究人员解释道:“通过劫持这些会话令牌,攻击者可以绕过多因素身份验证,冒充用户,并在云环境中进行横向移动。这使得这些 Cookie 成为信息窃取者和威胁行为者最有价值的攻击目标之一。”
网络犯罪分子采用多种方法来窃取这些身份验证 Cookie,其中包括:
1.使用反向代理工具进行中间人(AITM)攻击,以实时拦截 Cookie。
2.转储浏览器进程内存,以便从活动会话中提取已解密的 Cookie。
3.利用恶意浏览器扩展程序,在浏览器的安全环境中直接访问 Cookie。
4.解密本地存储的浏览器 Cookie 数据库。
研究人员的概念验证展示了攻击者如何创建自定义的 Chrome 扩展程序,该程序可在用户每次登录 Microsoft 的身份验证门户时,悄无声息地提取身份验证 Cookie。
这些 Cookie 随后会被泄露到攻击者控制的服务器上,并可被注入到威胁行为者的浏览器中,从而使攻击者能够立即访问受害者的云会话。
无需凭据的持续访问
“Cookie-Bite” 攻击特别危险之处在于其持续性。与传统的凭据窃取不同,这种技术不需要知道受害者的密码,也无需拦截多因素身份验证代码。一旦部署了恶意扩展程序,每次受害者登录时,该程序都会继续提取新的身份验证 Cookie。
研究人员指出:“这种技术确保了能持续提取有效的会话 Cookie,即使密码被更改或会话被撤销,攻击者仍能获得长期的未经授权访问权限。”
更令人担忧的是,这种攻击能够绕过企业作为额外安全层而部署的条件访问策略(CAPs)。
攻击者可以通过收集受害者环境的详细信息(包括域名、主机名、操作系统、IP 地址和浏览器指纹),精确模仿合法的访问模式。
通过成功的身份验证,攻击者能够访问像 Microsoft Graph Explorer 这样的关键企业应用程序,从而得以枚举用户、访问电子邮件,并有可能在企业内部提升权限。
安全专家建议采取以下几种应对措施来防范 “Cookie-Bite” 攻击:
1.持续监控异常的用户行为模式和可疑的登录情况。
2.在登录事件中利用Microsoft的风险检测功能。
3.配置条件访问策略,强制要求仅从合规设备进行登录。
4.实施 Chrome 策略,将浏览器扩展程序限制在已批准的白名单范围内。
5.部署令牌保护机制,以检测和防止令牌被盗。
随着云技术应用的加速发展,这些 Cookie 劫持技术凸显了基于身份验证的攻击手段的不断演变。企业必须调整其安全态势,以应对这些针对云身份验证系统基本信任机制的复杂威胁。
发表评论
您还未登录,请先登录。
登录