一种名为“Cookie-Bite”的概念验证攻击利用浏览器扩展程序从 Azure Entra ID 中窃取浏览器会话 Cookie,以绕过多因素身份验证(MFA)保护,并保持对 Microsoft 365、Outlook 和 Teams 等云服务的访问。
此次攻击由 Varonis 安全研究人员设计,他们分享了一种概念验证(PoC)方法,涉及一个恶意的和一个合法的 Chrome 扩展程序。然而,窃取会话 cookie 并非新鲜事,因为信息窃取程序和中间人网络钓鱼攻击通常都会将其作为目标。
虽然通过窃取 Cookie 来入侵账户并非新手段,但“Cookie-Bite”技术中恶意 Chrome 浏览器扩展程序的使用因其隐秘性和持久性而值得关注。
Cookie扩展攻击
“Cookie-Bite”攻击由一个恶意的 Chrome 扩展程序构成,该扩展程序充当信息窃取器,专门针对 Azure Entra ID(微软基于云的身份和访问管理(IAM)服务)中的“ESTAUTH”和“ESTSAUTHPERSISTNT”这两个 Cookie。
ESTAUTH 是一个临时会话令牌,表明用户已通过身份验证并完成了多因素身份验证。它在浏览器会话中有效,最长可达 24 小时,在应用程序关闭时过期。
ESTSAUTHPERSISTENT 是在用户选择“保持登录状态”或 Azure 应用 KMSI 策略时创建的会话 Cookie 的持久版本,其有效期最长可达 90 天。
应当注意的是,虽然此扩展程序是为针对微软的会话 Cookie 而创建的,但它可以被修改以针对其他服务,包括谷歌、Okta 和 AWS 的 Cookie。
Varonis 的恶意 Chrome 扩展程序包含用于监控受害者登录事件的逻辑,监听与微软登录网址匹配的标签页更新。
当登录发生时,它会读取所有作用域为“login.microsoftonline.com”的 Cookie,应用过滤以提取上述两个令牌,并通过 Google 表单将 Cookie 的 JSON 数据泄露给攻击者。
“在将该扩展程序打包成 CRX 文件并上传至 VirusTotal 后,结果显示目前没有任何安全供应商将其检测为恶意程序,”Varonis 警告称。
Chrome扩展窃取微软会话cookie
如果攻击者可以访问设备,他们可以部署一个PowerShell脚本,通过Windows任务调度程序运行,在每次启动Chrome时使用开发者模式自动重新注入未签名扩展。
PowerShell攻击中使用的例子
一旦cookie被盗,攻击者就会将其注入浏览器,就像其他被盗的cookie一样。这可以通过合法的Cookie-Editor Chrome扩展等工具来实现,该扩展允许威胁行为者将被盗的cookie导入到他们的浏览器“login.microsoftonline.com”下。
刷新页面后,Azure将攻击者的会话视为完全经过身份验证,绕过MFA并给予攻击者与受害者相同的访问级别。
注入偷来的 cookie
从那里,攻击者可以使用Graph Explorer枚举用户、角色和设备,发送消息或访问Microsoft Teams上的聊天,并通过Outlook Web阅读或下载电子邮件。
通过TokenSmith、ROADtools和AADInternals等工具,还可能进一步利用特权升级、横向移动和未经授权的应用程序注册。
Cookie-Bite攻击概述
微软将研究人员在攻击演示中的登录尝试标记为“atRisk”,因为他们使用了VPN,因此监控异常登录是防止这些攻击的关键。
此外,建议实施条件访问策略(CAP),以限制对特定IP范围和设备的登录。
关于Chrome扩展,建议执行Chrome ADMX策略,只允许预先批准的扩展运行,并完全阻止用户从浏览器的开发者模式。
根据安全研究人员最新发现,iOS系统的一个关键漏洞可能允许恶意应用程序仅用一行代码就永久禁用iphone。该漏洞被命名为CVE-2025-24091,利用操作系统的达尔文通知系统触发无尽的重启周期,有效地“阻塞”设备并需要完整的系统恢复。
iOS Darwin通知漏洞
该漏洞利用了Darwin通知,这是CoreOS层中的一种低级消息传递机制,允许进程通信系统范围的事件。
与NSNotificationCenter或NSDistributedNotificationCenter等更常见的通知系统不同,Darwin通知是传统API的一部分,在苹果操作系统的基础层面上运行。
安全研究员Guilherme Rambo发现了这一漏洞,他解释说:“达尔文通知甚至更简单,因为它们是 CoreOS 层的一部分。它们为苹果操作系统上的进程之间提供了一种简单的消息交换底层机制。”
关键漏洞在于,iOS上的任何应用程序都可以在无需特殊权限或授权的情况下发送敏感的系统级 Darwin 通知。
最危险的一点在于,这些通知可能会触发强大的系统功能,包括进入“正在恢复”模式。
仅需一行代码即可完成
该漏洞利用起来非常简单——只需一行代码就能触发漏洞:当执行此代码时,会迫使设备进入“正在恢复”状态。由于实际上并未进行恢复操作,该过程必然失败,从而提示用户重启设备。
研究人员创建了一个名为“VeryEvilNotify”的概念验证攻击,将此漏洞利用程序嵌入到了一个小部件扩展中。并指出:“iOS 会定期在后台唤醒部件扩展。”
由于系统中小部件的使用非常普遍,所以当安装并启动包含小部件扩展的新应用时,系统会非常急切地执行其小部件扩展。
通过将漏洞利用程序置于一个在发送通知后会反复崩溃的小部件中,研究人员制造了一种持续攻击,每次重启后都会触发,形成一个无休止的循环,致使设备无法使用。
缓解措施
苹果公司在 iOS 18.3 中通过为敏感的 Darwin 通知实施新的授权系统解决了这一漏洞。该研究人员获得了 17500 美元的漏洞赏金。
具体来说,系统通知现在需要以“com.apple.private.restrict-post.”为前缀,并且发送进程必须具备以“com.apple.private.darwin-notification.restrict-post.
这并非苹果系统中首次出现与达尔文相关的漏洞。此前,卡巴斯基实验室曾发现一个名为“达尔文核弹”的漏洞,该漏洞能让远程攻击者通过专门设计的网络数据包发起拒绝服务攻击。
强烈建议所有 iPhone 用户立即更新至 iOS 18.3 或更高版本。运行早期版本的设备仍易受此攻击,该攻击可能通过看似无害的应用程序或小部件通过 App Store 或其他分发方式部署。
该案例凸显了移动操作系统中持续存在的安全挑战,即便是简单且容易被忽视的旧版应用程序编程接口(API),如果安全防护不当,也会带来重大风险。