研究人員揭露以惡意瀏覽器擴充程式，繞過雲端平臺MFA驗證的Cookie-Bite手法

資安業者Varonis揭露一種新攻擊手法，透過竊取cookies繞過多因素驗證（multiple factor authentication，MFA）而能駭入企業Microsoft 365存取檔案、信件。

Varonis威脅實驗室研究人員設計出名為Cookie-Bite的手法，利用自製Chrome瀏覽器擴充程式及自動化指令竊取用戶Cookies，且能重複使用來冒充合法使用者，無需密碼，還能多次存取雲端服務。

研究人員以概念驗證說明，如何以Cookie-Bite手法駭入Azure存取Microsoft 365服務如Outlook、Teams。首先是建立能聽取驗證事件、並在受害用戶存取login.microsoftonline.com時，竊取Azure Entra ID的session cookies。竊取的目標包括協助完成MFA的ESTSAUTH，以及維持「保持登入狀態」ESTSAUTHPERSISTENT，ESTSAUTH效期僅24小時，ESTSAUTHPERSISTENT則可持續90天。該擴充程式聽到login.microsoftonline.com的連線，擷取前述兩種cookies，利用Google Form將cookie JSON資料傳送給攻擊者。

其次是建立PowerShell script，可在每次使用者開啟Chrome時，都自動載入該惡意擴充程式。最後，研究員（或攻擊者）可利用合法的Chrome擴充程式如Cookie-Editor，將竊來的二個cookies注入自己的瀏覽器。接下來，他就能被視為經過驗證的合法用戶，而不需再經過MFA，可自由存取M365、Outlook、Teams或Azure Portal等企業資源，甚至可使用第三方工具TokenSmith、ROADtools和AADInternals等來提升權限、進行橫向移動和非授權App註冊。

研究人員表示，除了Azure外，只要知道該用什麼憑證，同樣的手法也可用來攻擊Google Cloud、AWS、GitHub、Okta等雲端平臺。例如Google Workspace的是SAPISID、AWS Management Console的是aws-userInfo、Okta SSO為sid，GitHub為user_session。

要防止Cookie-Bite攻擊，企業管理員應監控任何異常登入，最好能設定條件式存取政策（conditional access policies，CAP）以限制特定IP和裝置登入雲端。此外，應限制PowerShell script，改用Python或VBScript。Chrome擴充程式管理方面，管理員最好也能執行Chrome ADMX政策，只允許事前許可的擴充程式執行。