Chrome扩充成攻击利器 微软云服务破绽曝光 劫持账号窃取敏感数据 (chrome浏览器)

媒体4月23日信息，科技媒体 bleepingcomputer 昨日（4 月 22 日）发布博文，引见了“Cookie-Bite”概念验证攻击形式，配合 Chrome 阅读器扩充，可绕过多重身份验证（MFA）维护，继续访问 Microsoft 365、Outlook 和 Teams 等微软云服务。

“Cookie-Bite”概念验证攻击由 Varonis 安保研讨人员开发，经过一个恶意 Chrome 扩充程序实施，专门窃取 Azure Entra ID（微软云端身份与访问控制服务）中的“ESTAUTH”和“ESTSAUTHPERSISTENT”两种会话 Cookie。

媒体征引博文引见，“ESTAUTH”是暂时会话令牌，标明用户曾经过认证并成功 MFA，阅读器会话有效期最长 24 小时，封锁运转后失效。而“ESTSAUTHPERSISTENT”则是耐久性 Cookie，当用户选择“坚持登录”或 Azure 运转 KMSI 政策时生成，有效期长达 90 天。

Varonis 研讨人员正告，这种扩充程序不只针对微软服务，还可修正后攻击 Google、Okta 和 AWS 等其他平台。

该恶意扩充程序内置逻辑，监控受益者的登录行为，监听与微软登录 URL 婚配的标签升级。一旦检测到登录，它会读取“login.microsoftonline.com”域下的一切 Cookie，挑选出目的令牌，并经过 Google Form 将 Cookie JSON 数据发送给攻击者。

Varonis 测试显示，将该扩充打包为 CRX 文件并上传至 VirusTotal 后，目前没有任何安保厂商将其辨以为恶意软件，凸显其保密性。

此外，若攻击者能访问目的设备，可经过 PowerShell 脚本和 Windows 义务方案程序，在 Chrome 每次启动时智能重新注入未签名的扩充程序，进一步增强攻击耐久性。

窃取 Cookie 后，攻击者可经过合法工具如“Cookie-Editor”Chrome 扩充，将其导入自己的阅读器，伪装成受益者身份。

页面刷新后，Azure 会将攻击者会话视为完全认证，绕过 MFA，直接失掉与受益者相反的访问权限。

攻击者随后可运行 Graph Explorer 枚举用户、角色和设备信息，经过 Microsoft Teams 发送信息或访问聊天记载，甚至经过 Outlook Web 读取和下载邮件。

更严重的是，运行 TokenSmith、ROADtools 和 AADInternals 等工具，攻击者还能成功权限优化、横向移动和未经授权的运转注册。