Des chercheurs de chez Varonis ont présenté une preuve de concept (PoC) baptisée Cookie-Bite, qui montre comment une simple extension Chrome peut être utilisée pour voler des cookies de session liés à Azure Entra ID (anciennement Azure AD). Cette méthode permet de contourner l’authentification multifacteur (MFA), en accordant à l’attaquant un accès persistant aux comptes cloud comme Microsoft 365, Outlook, Teams, etc.
🔐 Détails techniques L’attaque repose sur la capture de deux cookies critiques :
ESTAUTH : cookie temporaire valable environ 24h après une authentification réussie avec MFA.
ESTSAUTHPERSISTENT : cookie persistant créé quand l’utilisateur coche “rester connecté”, valable jusqu’à 90 jours.
L’extension malveillante :
Surveille les onglets du navigateur pour détecter les connexions à Microsoft.
Lit les cookies associés à login.microsoftonline.com.
Filtre ceux nécessaires à l’attaque.
Les envoie discrètement à l’attaquant via un formulaire Google.
Persistance locale Si l’attaquant a un accès direct à la machine de la victime, il peut faire en sorte que l’extension malveillante se réinstalle automatiquement à chaque lancement de Chrome en mode développeur via un script PowerShell et le Planificateur de tâches Windows.
🚨 Conséquences Une fois les cookies volés, l’attaquant peut les injecter dans son propre navigateur avec une extension comme Cookie-Editor. Lorsqu’il actualise une page Microsoft 365, il est automatiquement connecté sans devoir passer par la MFA, comme s’il était l’utilisateur légitime.
🛡️ Recommandations Limiter les extensions autorisées dans Chrome en entreprise pour éviter l’installation d’extensions non validées.
Mettre en place une détection comportementale, pour repérer des connexions ou des actions inhabituelles sur les comptes Microsoft.
Former les utilisateurs à repérer les comportements étranges du navigateur et à signaler les extensions inconnues.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/cookie-bite-attack-poc-uses-chrome-extension-to-steal-session-tokens/