Атака Cookie-Bite: как единственное браузерное расширение делает бесполезной всю систему MFA Microsoft

В свежем исследовании , проведённом специалистами компании Varonis, продемонстрирован малозаметный, но эффективный способ обхода многофакторной аутентификации с помощью вредоносного расширения Chrome. Атака, получившая название Cookie-Bite, использует возможности браузерных расширений для кражи сессионных куки и получения доступа к корпоративным облачным сервисам Microsoft — включая Microsoft 365, Outlook и Teams.

Суть приёма заключается в перехвате двух конкретных куки, используемых службой идентификации Azure Entra ID. Временный маркер ESTAUTH, действующий до 24 часов, подтверждает прохождение аутентификации и MFA. Его более долговечная версия ESTSAUTHPERSISTENT, применяемая при политике «Оставаться в системе» (KMSI), позволяет сохранять доступ до 90 дней. Оба токена представляют ключ к учётной записи, и, если они попадают в руки злоумышленников, ограничения MFA становятся бесполезными.

Механизм атаки построен на незаметной работе расширения, которое активируется при открытии страниц с URL Microsoft, извлекает куки из домена «login[.]microsoftonline[.]com» и отправляет их в виде JSON через Google Form. Более того, расширение можно упаковать в CRX-файл и внедрить через PowerShell-скрипт, автоматически активирующий его при каждом запуске браузера в режиме разработчика.

Что особенно тревожно, результат анализа на VirusTotal показал полное отсутствие реакций со стороны антивирусных решений, что указывает на уязвимость в существующих средствах защиты. После получения куки, злоумышленник может использовать такие инструменты, как Cookie-Editor, для импорта маркеров в собственный браузер. При обновлении страницы Azure расценивает сессию как полностью авторизованную — злоумышленник получает те же привилегии, что и жертва.

Это открывает путь к широкому спектру действий: просмотр и скачивание писем, переписка в Teams, изучение прав и устройств через Graph Explorer. При наличии соответствующих инструментов — таких как TokenSmith, ROADtools и AADInternals — возможны и более продвинутые шаги: повышение привилегий, боковое перемещение в инфраструктуре и регистрация новых приложений от имени пользователя.

Microsoft во время демонстрации атаки определила попытки входа как подозрительные из-за использования VPN, что указывает на значимость мониторинга аномальной активности. В качестве контрмер эксперты советуют жёстко ограничивать список допустимых расширений через ADMX-политику Chrome, блокировать доступ к режиму разработчика, а также применять условные политики доступа, разрешая логины только с доверенных IP-адресов и устройств.

Подобные инциденты лишь подчёркивают то, о чём уже говорится в свежем отчёте LayerX . Согласно документу, 99% корпоративных пользователей используют браузерные расширения, и более половины из них имеют доступ к критически важной информации, включая куки и содержимое страниц.

Особенно тревожит тот факт, что значительная часть расширений устанавливается в обход официальных магазинов, а разработчики зачастую обозначены лишь анонимной почтой Gmail. Эти данные лишь подчёркивает необходимость строгого контроля даже над теми элементами, которые кажутся повседневными и безобидными.