近日，科技新聞界曝光了一種名為“cookie-Bite”的新型概念驗證攻擊手段，該攻擊通過一款惡意設計的Chrome瀏覽器擴展，能夠繞過微軟云服務的多重身份驗證（MFA）機制，持續訪問Microsoft 365、Outlook和Teams等關鍵業務平臺。

據悉，“cookie-Bite”攻擊由Varonis安全團隊的研究人員開發，其核心在于一個精心構造的Chrome擴展程序，該程序專門用于竊取Azure Entra ID服務中的兩種關鍵會話cookie：“ESTAUTH”和“ESTSAUTHPERSISTENT”。前者是用戶通過認證并完成MFA后獲得的臨時會話令牌，有效期最長可達24小時；后者則是在用戶選擇“保持登錄”或符合Azure應用KMSI策略時生成的持久性cookie，有效期長達90天。

Varonis研究人員指出，這款惡意擴展不僅威脅著微軟的服務，還具備修改后攻擊Google、Okta和AWS等其他云平臺的潛力。該擴展內置了智能邏輯，能夠監控受害者的登錄行為，一旦檢測到與微軟登錄URL匹配的標簽更新，便立即讀取“login.microsoftonline.com”域下的所有cookie，篩選出目標令牌，并通過Google Form將cookie數據以JSON格式發送給攻擊者。

更令人擔憂的是，這款惡意擴展的隱秘性極高。Varonis的測試顯示，將擴展打包為CRX文件并上傳至VirusTotal后，竟無一安全廠商能將其識別為惡意軟件。若攻擊者能夠訪問目標設備，還可利用PowerShell腳本和Windows任務計劃程序，在Chrome每次啟動時自動重新注入未簽名的擴展程序，從而進一步增強攻擊的持久性。

一旦攻擊者成功竊取到受害者的cookie，他們便能通過合法工具如“cookie-Editor”Chrome擴展，將這些cookie導入自己的瀏覽器，進而偽裝成受害者身份進行登錄。頁面刷新后，Azure會將攻擊者的會話視為完全認證，無需再次進行MFA，直接賦予攻擊者與受害者相同的訪問權限。

利用這一權限，攻擊者可以隨意枚舉用戶、角色和設備信息，通過Microsoft Teams發送消息或訪問聊天記錄，甚至通過Outlook Web讀取和下載郵件。這些行為不僅嚴重侵犯了用戶的隱私和安全，還可能對企業的業務運營和數據安全構成巨大威脅。

更為嚴重的是，攻擊者還可以借助TokenSmith、ROADtools和AADInternals等專業工具，實現權限提升、橫向移動和未經授權的應用注冊等操作。這些高級攻擊手段將進一步擴大攻擊者的影響范圍，加劇企業的安全風險。