Uusi ”Cookie-Bite” -hyökkäys uhkaa pilvipalveluiden turvallisuutta
Tietoturvayritys Varoniksen tutkijat ovat kehittäneet todisteen konseptista (PoC) nimeltä ”Cookie-Bite”, joka hyödyntää haitallista Chrome-laajennusta varastaakseen istuntotunnuksia Azure Entra ID:stä. Tämä mahdollistaa monivaiheisen todennuksen (MFA) ohittamisen ja jatkuvan pääsyn Microsoftin pilvipalveluihin, kuten Microsoft 365, Outlook ja Teams.
Hyökkäyksen toiminta
”Cookie-Bite” hyödyntää kahta erityistä istuntotunnusta:
ESTAUTH: Väliaikainen istuntotunnus, joka vahvistaa käyttäjän todennuksen ja MFA:n suorittamisen. Se on voimassa jopa 24 tuntia tai kunnes selain suljetaan.
ESTSAUTHPERSISTENT: Pysyvä istuntotunnus, joka luodaan, kun käyttäjä valitsee ”Pysy kirjautuneena” -vaihtoehdon tai kun Azure soveltaa KMSI-käytäntöä. Tämä tunnus voi olla voimassa jopa 90 päivää.
Haitallinen laajennus toimii tiedonkerääjänä, siepaten nämä tunnukset ja lähettäen ne hyökkääjän hallinnoimalle palvelimelle. Vaikka hyökkäys on suunniteltu erityisesti Microsoftin istuntotunnuksia varten, sitä voidaan mukauttaa kohdistumaan myös muihin palveluihin, kuten Googleen, Oktaan ja AWS:ään.
Suojaus ja suositukset
Koska ”Cookie-Bite” ei vaadi järjestelmänvalvojan oikeuksia tai haittaohjelman asentamista, se on erityisen vaikea havaita. Organisaatioiden tulisi:
Rajoittaa laajennusten käyttöä: Salli vain luotettavat laajennukset ja valvo niiden käyttöä.
Käyttää laitteeseen sidottuja istuntotunnuksia: Tämä estää varastettujen tunnusten käytön muissa laitteissa.
Valvoa kirjautumistoimintaa: Tarkkaile epäilyttäviä kirjautumisia ja käyttäytymismalleja.
Kouluttaa käyttäjiä: Lisää tietoisuutta laajennusten riskeistä ja turvallisista käytännöistä.
Yhteenveto
”Cookie-Bite” korostaa, kuinka haitalliset selaimen laajennukset voivat ohittaa perinteiset suojausmenetelmät ja uhata yritysten pilvipalveluiden turvallisuutta. Organisaatioiden on tärkeää päivittää suojauskäytäntöjään ja valvoa laajennusten käyttöä suojautuakseen tällaisilta uhilta.
Lähteet:
https://www.varonis.com/blog/cookie-bite
https://www.bleepingcomputer.com/news/security/cookie-bite-attack-poc-uses-chrome-extension-to-steal-session-tokens/
