Une attaque de validation de principe appelée « Cookie-Bite » utilise une extension de navigateur pour voler les cookies de session de navigateur d’Azure Entra ID afin de contourner les protections d’authentification multifacteur (MFA) et de conserver l’accès aux services cloud tels que Microsoft 365, Outlook et Teams.
L’attaque a été conçue par des chercheurs en sécurité de Varonis, qui ont partagé une méthode de validation de principe (PoC) impliquant une extension Chrome malveillante et légitime. Cependant, le vol de cookies de session n’est pas nouveau, car les vendeurs d’informations et les attaques de phishing adverses-in-the-middle les ciblent généralement.
Bien que le Cookie-Bite ne soit pas un concept entièrement nouveau, il est toujours remarquable pour sa furtivité et sa persistance.
Attaque par extension de cookie
L’attaque par morsure de cookie consiste en une extension Chrome malveillante qui agit comme un infostealer, ciblant les cookies « ESTAUTH » et « ESTSAUTHPERSISTNT » dans Azure Entra ID, le service de gestion des identités et des accès (IAM) basé sur le cloud de Microsoft.
ESTAUTH est un jeton de session transitoire qui indique que l’utilisateur est authentifié et a terminé l’authentification multifacteur. Il reste valide pour la session du navigateur jusqu’à 24 heures et expire lorsque l’application est fermée.
ESTSAUTHPERSISTENT est la version persistante du cookie de session créée lorsque les utilisateurs choisissent de « Rester connectés » ou lorsqu’Azure applique la stratégie KMSI, la maintenant valide jusqu’à 90 jours.
Il convient de noter que bien que cette extension ait été créée pour cibler les cookies de session Microsoft, elle peut être modifiée pour cibler d’autres services, notamment les cookies Google, Okta et AWS.
L’extension Chrome malveillante de Varonis contient une logique permettant de surveiller les événements de connexion de la victime, en écoutant les mises à jour des onglets correspondant aux URL de connexion Microsoft.
Lorsqu’une connexion se produit, il lit tous les cookies dont la portée est ‘login.microsoftonline.com,’ applique un filtrage pour extraire les deux jetons mentionnés et exfiltrer les données JSON du cookie vers l’attaquant via un formulaire Google.
« Après avoir emballé l’extension dans un fichier CRX et l’avoir téléchargée sur VirusTotal, le résultat montre qu’aucun fournisseur de sécurité ne la détecte actuellement comme malveillante », a averti Varonis.
Si les auteurs de menaces ont accès à l’appareil, ils peuvent déployer un script PowerShell qui s’exécute via le planificateur de tâches Windows pour automatiser la réinjection de l’extension non signée à chaque lancement de Chrome en mode développeur.
Une fois qu’un cookie est volé, les attaquants l’injectent dans le navigateur comme n’importe quel autre cookie volé. Cela peut être fait grâce à des outils tels que l’extension Chrome légitime de l’éditeur de cookies, qui permet à l’auteur de la menace d’importer les cookies volés dans son navigateur sous ‘login.microsoftonline.com. »
Après avoir actualisé la page, Azure traite la session de l’attaquant comme entièrement authentifiée, contournant MFA et donnant à l’attaquant le même niveau d’accès que la victime.
À partir de là, l’attaquant peut utiliser Graph Explorer pour énumérer les utilisateurs, les rôles et les appareils, envoyer des messages ou accéder à des discussions sur Microsoft Teams, et lire ou télécharger des e-mails via Outlook Web.
D’autres exploitations telles que l’escalade des privilèges, les mouvements latéraux et les enregistrements d’applications non autorisés sont également possibles via des outils tels que TokenSmith, ROADtools et AADInternals.
Microsoft a signalé les tentatives de connexion des chercheurs dans la démonstration de l’attaque comme « à risque » en raison de leur utilisation d’un VPN, donc la surveillance des connexions anormales est essentielle pour prévenir ces attaques.
De plus, il est recommandé d’appliquer des stratégies d’accès conditionnel (CAN) pour limiter les connexions à des plages d’adresses IP et à des périphériques spécifiques.
En ce qui concerne les extensions Chrome, il est recommandé d’appliquer les stratégies Chrome ADMX pour autoriser uniquement les extensions pré-approuvées à s’exécuter et bloquer entièrement les utilisateurs du mode Développeur du navigateur.