حمله PoC به نام Cookie-Bite از اکستنشن مرورگر برای سرقت کوکیهای نشست مرورگر از Azure Entra ID استفاده میکند تا از آن برای عبور از MFA و حفظ دسترسی به سرویسهای ابری مانند Microsoft 365، Outlook و Teams بهرهبرداری کند.
حمله توسط محققان امنیتی Varonis طراحی شد، که روش PoC شامل اکستنشن کروم مخرب و قانونی را به اشتراک گذاشتند. سرقت کوکیهای نشست مفهوم جدیدی نیست، چرا که بدافزارهای سرقت اطلاعات و حملات فیشینگ Adversary-in-the-middle به طور معمول از این روش برای هدف قرار دادن آنها استفاده میکنند. حمله Cookie-Bite شامل افزونه کروم مخرب است که به عنوان ابزار سرقت اطلاعات عمل و کوکیهای ESTAUTH و ESTSAUTHPERSISTNT را در Azure Entra ID سرویس مدیریت هویت و دسترسی مبتنی بر ابر مایکروسافت (IAM) هدف قرار میدهد. در حالی که این افزونه جهت هدف قرار دادن کوکیهای مایکروسافت ایجاد شده است، میتواند برای هدف قرار دادن سرویسهای دیگر مانند Google، Okta و AWS نیز تغییر داده شود.
https://www.bleepingcomputer.com/news/security/cookie-bite-attack-poc-uses-chrome-extension-to-steal-session-tokens/
