Μια δοκιμαστική επίθεση (proof-of-concept – PoC), γνωστή ως “Cookie-Bite“, αξιοποιεί μια επέκταση προγράμματος περιήγησης για να υποκλέψει cookies σύνδεσης από την πλατφόρμα Azure Entra ID, με στόχο να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και να διατηρήσει ανεμπόδιστη πρόσβαση σε cloud υπηρεσίες όπως τα Microsoft 365, Outlook και Teams.
Την τεχνική αυτή ανέπτυξαν ερευνητές κυβερνοασφάλειας της Varonis, οι οποίοι παρουσίασαν μια μέθοδο PoC που βασίζεται στη χρήση κακόβουλης και νόμιμης επέκτασης Chrome. Παρόλο που η υποκλοπή cookies δεν είναι νέα πρακτική, η συγκεκριμένη τεχνική ξεχωρίζει λόγω της διακριτικής και επίμονης φύσης της.
Δείτε επίσης: Κακόβουλες επεκτάσεις VSCode μολύνουν τα Windows με cryptominer
Επίθεση Cookie-Bite: Πώς λειτουργεί
Η επίθεση βασίζεται σε μια κακόβουλη επέκταση Chrome, η οποία δρα ως εργαλείο υποκλοπής πληροφοριών (infostealer), στοχεύοντας ειδικά δύο cookies: ESTAUTH και ESTSAUTHPERSISTENT, που χρησιμοποιεί η υπηρεσία της Microsoft, Azure Entra ID.
• ESTAUTH: Αυτό το cookie υποδηλώνει ότι ο χρήστης έχει περάσει επιτυχώς τον έλεγχο ταυτότητας, συμπεριλαμβανομένου του MFA. Παραμένει ενεργό για όσο διάστημα είναι ανοιχτό το πρόγραμμα περιήγησης, έως και 24 ώρες.
• ESTSAUTHPERSISTENT: Πρόκειται για μια πιο μακρόχρονη έκδοση του cookie, που παραμένει ενεργή έως και 90 ημέρες όταν ο χρήστης επιλέξει «Να παραμείνω συνδεδεμένος» ή όταν η πολιτική KMSI του Azure είναι ενεργοποιημένη.
Η επίθεση είναι ιδιαίτερα επικίνδυνη, καθώς οι δράστες μπορούν να αποκτήσουν συνεχή πρόσβαση στους λογαριασμούς του χρήστη, ακόμα και αφού εκείνος νομίζει πως έχει αποσυνδεθεί ή προστατεύεται από το MFA.
Αξίζει να σημειωθεί ότι, παρόλο που η επέκταση της επίθεσης “Cookie-Bite” σχεδιάστηκε για να στοχεύει cookies σύνδεσης της Microsoft, θα μπορούσε εύκολα να τροποποιηθεί ώστε να επιτεθεί και σε άλλες δημοφιλείς υπηρεσίες, όπως η Google, η Okta ή η AWS.
Η κακόβουλη επέκταση του Chrome που αναπτύχθηκε από τη Varonis παρακολουθεί σε πραγματικό χρόνο τις κινήσεις του χρήστη, εντοπίζοντας πότε γίνεται σύνδεση σε ιστότοπους της Microsoft και παρατηρώντας τις ενημερώσεις των καρτελών του προγράμματος περιήγησης με βάση συγκεκριμένα URLs (όπως το login.microsoftonline.com).
Όταν εντοπιστεί σύνδεση, η επέκταση διαβάζει όλα τα σχετικά cookies και φιλτράρει συγκεκριμένα τα δύο σημαντικά tokens ESTAUTH και ESTSAUTHPERSISTENT. Στη συνέχεια, εξάγει τα cookie JSON data και τα στέλνει στον εισβολέα μέσω ενός Google Form.
Δείτε επίσης: Επεκτάσεις VSCode έκαναν λήψη ransomware σε πρώιμο στάδιο
Η ομάδα της Varonis προειδοποίησε ότι, όταν η επέκταση αυτή συσκευάστηκε σε αρχείο CRX και ανέβηκε στο VirusTotal (πλατφόρμα ανίχνευσης κακόβουλου λογισμικού), κανένας γνωστός πάροχος ασφαλείας δεν την αναγνώρισε ως κακόβουλη.
Αν οι εισβολείς αποκτήσουν φυσική ή απομακρυσμένη πρόσβαση σε έναν υπολογιστή, μπορούν να δημιουργήσουν ένα PowerShell script, το οποίο θα ρυθμιστεί να εκτελείται κατά την εκκίνηση των Windows μέσω του Task Scheduler. Αυτό το script επανεγκαθιστά αυτόματα την επέκταση στον Chrome σε developer mode, διατηρώντας την ενεργή ακόμα και μετά από επανεκκίνηση.
Από τη στιγμή που έχουν στα χέρια τους ένα κλεμμένο cookie, οι επιτιθέμενοι μπορούν να το «φορτώσουν» στο πρόγραμμα περιήγησης, χρησιμοποιώντας εργαλεία όπως το Cookie-Editor (μια νόμιμη επέκταση Chrome). Με την εισαγωγή του cookie στο ίδιο domain σύνδεσης της Microsoft και την ανανέωση της σελίδας, το Azure το αντιμετωπίζει σαν κανονική, επιβεβαιωμένη σύνδεση, παρακάμπτοντας εντελώς τον έλεγχο MFA και δίνοντας πλήρη πρόσβαση σαν να ήταν ο νόμιμος χρήστης.
Από τη στιγμή που οι εισβολείς αποκτήσουν πρόσβαση, μπορούν να αξιοποιήσουν το Graph Explorer της Microsoft για να εντοπίσουν χρήστες, ρόλους και συσκευές, να στείλουν μηνύματα, να διαβάσουν συνομιλίες στο Microsoft Teams ή ακόμα και να διαβάσουν και να κατεβάσουν email μέσω του Outlook Web.
Η επίθεση μπορεί να επεκταθεί περαιτέρω, επιτρέποντας στον εισβολέα να αυξήσει τα δικαιώματά του, να εξαπλωθεί στο δίκτυο ή να κάνει μη εξουσιοδοτημένες εγγραφές εφαρμογών, χρησιμοποιώντας εργαλεία όπως το TokenSmith, το ROADtools και το AADInternals.
Η Microsoft, κατά τη διάρκεια της επίδειξης της επίθεσης από τους ερευνητές, χαρακτήρισε τις προσπάθειες σύνδεσης ως “atRisk“, καθώς πραγματοποιήθηκαν μέσω VPN. Αυτό υπογραμμίζει πόσο σημαντικό είναι για τους οργανισμούς να παρακολουθούν για ύποπτες ή ασυνήθιστες συνδέσεις ως βασικό μέτρο πρόληψης.
Για επιπλέον προστασία, προτείνεται η εφαρμογή πολιτικών πρόσβασης υπό όρους (Conditional Access Policies – CAP), οι οποίες μπορούν να περιορίζουν τις συνδέσεις μόνο σε συγκεκριμένες διευθύνσεις IP ή εγκεκριμένες συσκευές.
Δείτε επίσης: Η νέα επίθεση Polymorphic μιμείται επεκτάσεις του Chrome
Σε ό,τι αφορά τις επεκτάσεις του Chrome, συνιστάται να χρησιμοποιούνται οι πολιτικές διαχείρισης του Chrome (Chrome ADMX) για να επιτρέπονται μόνο προκαθορισμένες, εγκεκριμένες επεκτάσεις και να απενεργοποιείται εντελώς η λειτουργία προγραμματιστή, ώστε να μην μπορούν οι χρήστες να εγκαθιστούν μη ελεγμένες επεκτάσεις.
Επίσης, για την προστασία των cookies και της περιόδου σύνδεσης, προτείνεται η χρήση σύντομων χρονικών ορίων για τις περιόδους σύνδεσης (session timeouts), η αποφυγή χρήσης της επιλογής “Μείνετε συνδεδεμένοι” και η ενεργοποίηση της ρύθμισης που αποτρέπει την πρόσβαση JavaScript στα session cookies.
Τέλος, θα πρέπει να γίνονται τακτικά έλεγχοι anti-malware και anti-spyware και να ενημερώνονται όλα τα προγράμματα και τα λειτουργικά συστήματα για την αντιμετώπιση πιθανών κενών ασφαλείας.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/646615/epithesi-cookie-bite-pos-hackers-mporoun-na-parakampsoun-mfa/&media=https://cdnglobal.secnews.gr/wp-content/uploads/2025/04/23111138/Cookie-Bite-epithesi-parakampsi-mfa.jpg&description=Μια επίθεση PoC ("Cookie-Bite") αξιοποιεί μια επέκταση προγράμματος περιήγησης για να υποκλέψει cookies σύνδεσης από το Azure Entra ID.){kind=link}