摘要：近日，科技新闻界曝光了一种名为“cookie-Bite”的新型概念验证攻击手段，该攻击通过一款恶意设计的Chrome浏览器扩展，能够绕过微软云服务的多重身份验证（MFA）机制，持续访问Microsoft 365、Outlook和Teams等关键业务平台。

近日，科技新闻界曝光了一种名为“cookie-Bite”的新型概念验证攻击手段，该攻击通过一款恶意设计的Chrome浏览器扩展，能够绕过微软云服务的多重身份验证（MFA）机制，持续访问Microsoft 365、Outlook和Teams等关键业务平台。

据悉，“cookie-Bite”攻击由Varonis安全团队的研究人员开发，其核心在于一个精心构造的Chrome扩展程序，该程序专门用于窃取Azure Entra ID服务中的两种关键会话cookie：“ESTAUTH”和“ESTSAUTHPERSISTENT”。前者是用户通过认证并完成MFA后获得的临时会话令牌，有效期最长可达24小时；后者则是在用户选择“保持登录”或符合Azure应用KMSI策略时生成的持久性cookie，有效期长达90天。

Varonis研究人员指出，这款恶意扩展不仅威胁着微软的服务，还具备修改后攻击Google、Okta和AWS等其他云平台的潜力。该扩展内置了智能逻辑，能够监控受害者的登录行为，一旦检测到与微软登录URL匹配的标签更新，便立即读取“login.microsoftonline.com”域下的所有cookie，筛选出目标令牌，并通过Google Form将cookie数据以JSON格式发送给攻击者。

更令人担忧的是，这款恶意扩展的隐秘性极高。Varonis的测试显示，将扩展打包为CRX文件并上传至VirusTotal后，竟无一安全厂商能将其识别为恶意软件。若攻击者能够访问目标设备，还可利用PowerShell脚本和Windows任务计划程序，在Chrome每次启动时自动重新注入未签名的扩展程序，从而进一步增强攻击的持久性。

一旦攻击者成功窃取到受害者的cookie，他们便能通过合法工具如“cookie-Editor”Chrome扩展，将这些cookie导入自己的浏览器，进而伪装成受害者身份进行登录。页面刷新后，Azure会将攻击者的会话视为完全认证，无需再次进行MFA，直接赋予攻击者与受害者相同的访问权限。

利用这一权限，攻击者可以随意枚举用户、角色和设备信息，通过Microsoft Teams发送消息或访问聊天记录，甚至通过Outlook Web读取和下载邮件。这些行为不仅严重侵犯了用户的隐私和安全，还可能对企业的业务运营和数据安全构成巨大威胁。

更为严重的是，攻击者还可以借助TokenSmith、ROADtools和AADInternals等专业工具，实现权限提升、横向移动和未经授权的应用注册等操作。这些高级攻击手段将进一步扩大攻击者的影响范围，加剧企业的安全风险。

来源：ITBear科技资讯