Специалисты компании Varonis
Ссылка скрыта от гостей
опасный способ обхода многофакторной аутентификации (MFA) с помощью вредоносного расширения для Chrome. Атака, названная Cookie-Bite, позволяет злоумышленникам получать доступ к корпоративным облачным сервисам Microsoft, включая Microsoft 365, Outlook и Teams, перехватывая сессионные куки.
Как работает атака?
Вредоносное расширение крадёт два ключевых токена, используемых Azure Entra ID:
- ESTAUTH — временный токен (действует до 24 часов), подтверждающий прохождение MFA.
- ESTSAUTHPERSISTENT — долгосрочный токен (до 90 дней), применяемый при включённой опции «Оставаться в системе» (KMSI).
Получив эти куки, злоумышленники получают полный доступ к аккаунту, игнорируя защиту MFA.
Как распространяется угроза?
Расширение активируется при посещении страниц Microsoft, извлекает куки из домена login.microsoftonline.com и передаёт их через Google Form. Оно может быть скрыто в CRX-файле и автоматически устанавливаться через PowerShell-скрипт, работая в фоновом режиме при каждом запуске Chrome в режиме разработчика.
Эксперты рекомендуют компаниям усилить мониторинг подозрительных расширений и активностей в облачных сервисах, чтобы предотвратить утечку данных.