Investigadores de seguridad de Varonis han desarrollado una prueba de concepto (PoC) llamada Cookie-Bite, una técnica que utiliza una extensión maliciosa de Chrome para robar cookies de sesión de Azure Entra ID.
Esto permite a los atacantes eludir la autenticación multifactor (MFA) y acceder a servicios en la nube como Microsoft 365, Outlook y Teams.
¿Qué hace este ataque diferente?
Aunque el robo de cookies no es una novedad, lo innovador aquí es el uso sigiloso de una extensión del navegador, que pasa desapercibida para la mayoría de los antivirus y mantiene persistencia incluso después de reiniciar el equipo.
¿Cómo funciona Cookie-Bite?
- La extensión maliciosa se instala en el navegador.
- Monitorea el inicio de sesión del usuario en
login.microsoftonline.com. - Extrae las cookies ESTAUTH y ESTSAUTHPERSISTENT:
- ESTAUTH: cookie temporal válida hasta por 24h o hasta cerrar el navegador.
- ESTSAUTHPERSISTENT: cookie persistente que puede durar hasta 90 días si el usuario marca “mantener sesión iniciada”.
- Las cookies robadas se envían al atacante, por ejemplo, a través de un formulario de Google.
- El atacante las inyecta en su propio navegador usando herramientas como Cookie-Editor.
- Al refrescar, Azure cree que es una sesión legítima y concede acceso total, saltándose el MFA.
¿Cómo defenderse? ️
- Evitar el uso de extensiones no verificadas.
- Usar políticas administrativas de Chrome para permitir solo extensiones aprobadas.
- Bloquear el modo desarrollador en navegadores corporativos.
- Implementar políticas de acceso condicional (CAP) para limitar el acceso a ciertas IPs o dispositivos.
- Estar atentos a inicios de sesión sospechosos o desde VPNs.
Este ataque también puede adaptarse fácilmente para robar sesiones de Google, AWS u Okta, por lo que es un recordatorio crítico de que el eslabón más débil muchas veces sigue siendo el navegador del usuario.