SolarWinds é vendida por US$ 4,4 bilhões

CISA publica sete alertas para sistemas de controle industrial

PayPal é multado por ter exposto dados de clientes em 2022

Arquivo Nacional sofre ataque na página do Prêmio Memórias Reveladas

Fundador do marketplace Silk Road é perdoado de prisão perpétua

TikTok sai do ar no EUA por decisão judicial

[ 161,299 page views, 63,350 usuários nos últimos 30 dias ] - [ 6.113 assinantes na newsletter, taxa de abertura 27% ]
Pesquisar
security-5043368_1280.jpg
Risco Iminente

Cookie-Bite burla MFA com extensão furtiva

Pesquisadores da Varonis demonstraram um ataque de prova de conceito chamado Cookie-Bite, que utiliza uma extensão maliciosa do navegador Chrome para roubar cookies de sessão do Azure Entra ID. O objetivo é burlar a autenticação multifator e manter acesso contínuo a serviços como Microsoft 365, Outlook e Teams. O ataque envolve a instalação de uma extensão que monitora os logins da vítima e extrai os cookies ESTAUTH e ESTSAUTHPERSISTENT, que representam sessões autenticadas. Esses dados são exfiltrados discretamente por meio de um formulário do Google, permitindo que os invasores repliquem a sessão em outro navegador e obtenham acesso total, sem a necessidade de nova autenticação.

Leia também
CISA perde ferramentas por ordem do governo
Plataforma promete segurança em devops com I.A.

A Varonis observou que a extensão usada no teste não foi detectada por nenhum fornecedor de segurança ao ser enviada ao VirusTotal. Para garantir a persistência, os atacantes podem usar um script em PowerShell, agendado para ser executado a cada inicialização do sistema, que reinstala automaticamente a extensão não assinada no modo de desenvolvedor do Chrome. Uma vez com os cookies válidos, os atacantes conseguem acessar e-mails, conversar pelo Teams, mapear a infraestrutura da organização e realizar movimentos laterais ou escalonamento de privilégios, utilizando ferramentas como TokenSmith, ROADtools e AADInternals.

Apesar de o uso de cookies para sequestro de sessão não ser novidade, o diferencial do Cookie-Bite está na furtividade e persistência obtidas através do uso de uma extensão de navegador, que passa despercebida por ferramentas tradicionais de segurança. A Microsoft foi capaz de sinalizar algumas das tentativas de login como de risco, graças ao uso de uma VPN na demonstração, mas isso não impede que o ataque seja bem-sucedido se não houver monitoramento eficaz de logins anômalos.

Para mitigar esse tipo de ameaça, a recomendação é aplicar políticas rígidas no Chrome, permitindo apenas extensões aprovadas pela empresa e desabilitando completamente o modo de desenvolvedor. Também é fundamental implementar políticas de acesso condicional para restringir logins a dispositivos e localizações confiáveis, e manter um monitoramento constante de sessões suspeitas ou fora do padrão esperado.

Posts Patrocinados

Últimas notícias

Assine a nossa Newsletter

Cancelar Inscrição

Assine a nossa Newsletter

Cancelar Inscrição