微软云服务漏洞曝光：Chrome 扩展成攻击利器，劫持账号窃取敏感数据

IT之家 4 月 23 日消息
，微软务漏科技媒体 bleepingcomputer 昨日（4 月 22 日）发布博文，云服介绍了“Cookie-Bite”概念验证攻击方式
，洞曝配合 Chrome 浏览器扩展，光C攻击可绕过多重身份验证（MFA）保护 ，展成账号持续访问 Microsoft 365、利器Outlook 和 Teams 等微软云服务。劫持

“Cookie-Bite”概念验证攻击由 Varonis 安全研究人员开发
，敏感通过一个恶意 Chrome 扩展程序实施 ，数据专门窃取 Azure Entra ID（微软云端身份与访问管理服务）中的微软务漏“ESTAUTH”和“ESTSAUTHPERSISTENT”两种会话 Cookie 。

IT之家援引博文介绍，高防服务器云服“ESTAUTH”是洞曝临时会话令牌，表明用户已通过认证并完成 MFA，光C攻击浏览器会话有效期最长 24 小时，展成账号关闭应用后失效。利器而“ESTSAUTHPERSISTENT”则是持久性 Cookie ，当用户选择“保持登录”或 Azure 应用 KMSI 政策时生成，有效期长达 90 天 。

Varonis 研究人员警告 ，这种扩展程序不仅针对微软服务，免费模板还可修改后攻击 Google 、Okta 和 AWS 等其他平台。

该恶意扩展程序内置逻辑，监控受害者的登录行为，监听与微软登录 URL 匹配的标签更新 。一旦检测到登录 ，它会读取“login.microsoftonline.com”域下的所有 Cookie ，筛选出目标令牌，云计算并通过 Google Form 将 Cookie JSON 数据发送给攻击者。

Varonis 测试显示 ，将该扩展打包为 CRX 文件并上传至 VirusTotal 后，目前没有任何安全厂商将其识别为恶意软件 ，凸显其隐秘性 。

此外，若攻击者能访问目标设备 ，可通过 PowerShell 脚本和 Windows 任务计划程序
，在 Chrome 每次启动时自动重新注入未签名的扩展程序 ，进一步增强攻击持久性。亿华云

窃取 Cookie 后 ，攻击者可通过合法工具如“Cookie-Editor”Chrome 扩展 ，将其导入自己的浏览器 ，伪装成受害者身份。

页面刷新后
，Azure 会将攻击者会话视为完全认证，绕过 MFA，直接获取与受害者相同的访问权限
。

攻击者随后可利用 Graph Explorer 枚举用户
、香港云服务器角色和设备信息 ，通过 Microsoft Teams 发送消息或访问聊天记录，甚至通过 Outlook Web 读取和下载邮件
。

更严重的是，利用 TokenSmith 、ROADtools 和 AADInternals 等工具，攻击者还能实现权限提升 、横向移动和未经授权的应用注册。源码下载