"Çerez-ısırık" adı verilen bir kavram kanıtı saldırısı, Azure Entra ID'den çok faktörlü kimlik doğrulama (MFA) korumalarını atlamak ve Microsoft 365, Outlook ve ekipler gibi bulut hizmetlerine erişimi sürdürmek için tarayıcı oturum çerezlerini çalmak için bir tarayıcı uzantısı kullanır.
Saldırı, kötü niyetli ve meşru bir krom uzantısı içeren bir kavram kanıtı (POC) yöntemini paylaşan Varonis güvenlik araştırmacıları tarafından tasarlandı. Bununla birlikte, infostalers ve ortadaki rakip kimlik avı saldırıları genellikle onları hedefledikçe, oturum çerezlerini çalmak yeni değildir.
Çerezleri ihlal etmek için çerezleri çalmak yeni bir kavram olmasa da, çerez-ısırık tekniğinde kötü niyetli bir krom tarayıcı uzantısının kullanılması gizli ve kalıcılığı için dikkat çekicidir.
Çerez ısırığı saldırısı, Microsoft'un bulut tabanlı kimlik ve erişim yönetimi (IAM) hizmeti Azure Entra ID'de 'Estauth' ve 'estsauthpersistnt' çerezlerini hedefleyen bir infostealer görevi gören kötü niyetli bir krom uzantısından oluşur.
Estauth, kullanıcının doğrulandığını ve MFA'yı tamamladığını gösteren geçici bir oturum belirtecidir. Tarayıcı oturumu için 24 saate kadar geçerli kalır ve uygulama kapatıldığında sona erer.
ESTSAuthPersistent, kullanıcılar "imzalanmayı" tercih ettiklerinde veya Azure KMSI ilkesini uygularken 90 güne kadar geçerli kaldıklarında oluşturulan oturum çerezinin kalıcı sürümüdür.
Bu uzantı Microsoft Oturum çerezlerini hedeflemek için oluşturulurken, Google, OKTA ve AWS çerezleri de dahil olmak üzere diğer hizmetleri hedefleyecek şekilde değiştirilebileceğine dikkat edilmelidir.
Varonis'in kötü niyetli krom uzantısı, kurbanın giriş olaylarını izlemek için mantık içerir ve Microsoft giriş URL'leri ile eşleşen sekme güncellemelerini dinler.
Bir giriş gerçekleştiğinde, 'login.microsoftonline.com' adlı tüm çerezleri okur, söz konusu iki jetonu çıkarmak için filtreleme uygular ve çerez JSON verilerini bir Google formu aracılığıyla saldırgana pespiltrat eder.
Varonis, "Uzantıyı bir CRX dosyasına paketledikten ve Virustotal'a yükledikten sonra, sonuç hiçbir güvenlik satıcının şu anda kötü niyetli olarak algılamadığını gösteriyor."
Tehdit aktörlerinin cihaza erişimi varsa, geliştirici modunu kullanarak Chrome'un her lansmanında imzasız uzantının yeniden enjeksiyonunu otomatikleştirmek için Windows Görev Zamanlayıcısı aracılığıyla çalışan bir PowerShell komut dosyası dağıtabilirler.
Bir kurabiye çalındığında, saldırganlar onu diğer çalıntı çerezler gibi tarayıcıya enjekte eder. Bu, tehdit oyuncusunun çalınan çerezleri 'login.microsoftonline.com' altındaki tarayıcılarına aktarmasına izin veren meşru çerez-editör Chrome uzantısı gibi araçlarla yapılabilir.
Sayfayı yeniledikten sonra Azure, saldırganın oturumunu tamamen doğrulanmış olarak ele alıyor, MFA'yı atlıyor ve saldırgana kurbanla aynı erişim sağlıyor.
Saldırgan oradan, kullanıcıları, rolleri ve cihazları numaralandırmak, Microsoft ekiplerinde mesaj göndermek veya sohbetleri göndermek ve Outlook Web üzerinden e -postaları okuyabilir veya indirmek için Graph Explorer'ı kullanabilir.
Ayrıcalık yükseltme, yanal hareket ve yetkisiz uygulama kayıtları gibi daha fazla sömürü, jetonsmith, roadtools ve aadinternals gibi araçlarla da mümkündür.
Microsoft, araştırmacıların Saldırı gösterisindeki giriş girişimlerini bir VPN kullanmaları nedeniyle "Atrisk" olarak işaretledi, bu nedenle anormal imzalar için izleme bu saldırıları önlemenin anahtarıdır.
Ayrıca, oturum açmalarını belirli IP aralıkları ve cihazlarla sınırlamak için koşullu erişim politikalarının (CAP) uygulanması önerilir.
Krom uzantıları ile ilgili olarak, Chrome ADMX politikalarının, yalnızca önceden onaylanmış uzantıların tarayıcının geliştirici modundan kullanıcıları çalıştırmasına ve engellemesine izin vermek için uygulanması önerilir.
6 milyon kurulum içeren krom uzantılarda gizli izleme kodu
Kötü niyetli krom uzantılar yeni saldırıda şifre yöneticilerini taklit edebilir
Asus, AICLOUD kullanarak yönlendiricilerde kritik kimlik bypass kusurunu uyarıyor
Bu Microsoft Azure Sertifikasyon Kursu ile özgeçmişinizi geliştirin
Chrome 136 20 Yıllık Tarayıcı Geçmiş Gizlilik Riskini Düzeltiyor
Kaynak: Bleeping Computer