"Cookie-Bite"라는 개념 증명 공격은 브라우저 확장 프로그램을 이용해 Azure Entra ID의 브라우저 세션 쿠키를 훔쳐 Microsoft 365, Outlook, Teams 등의 클라우드 서비스에 대한 접근을 유지합니다. 이 공격은 Varonis 보안 연구원들이 Chrome 확장 프로그램을 이용한 방법론을 공유했습니다. 세션 쿠키를 훔치는 것은 새로운 개념이 아니지만, "Cookie-Bite"는 그 은밀성과 지속성 때문에 주목받고 있습니다.
"Cookie-Bite" 공격은 악성 Chrome 확장 프로그램을 이용해 Azure Entra ID의 'ESTAUTH'와 'ESTSAUTHPERSISTNT' 쿠키를 대상으로 합니다. 이 확장 프로그램은 Microsoft 세션 쿠키를 대상으로 만들어졌지만, Google, Okta, AWS 쿠키 등 다른 서비스를 대상으로 수정할 수 있습니다. Varonis의 악성 Chrome 확장 프로그램은 피해자의 로그인 이벤트를 모니터링하고, Microsoft 로그인 URL과 일치하는 탭 업데이트를 감지합니다.
공격자가 장치에 접근 권한을 가지고 있다면, PowerShell 스크립트를 배포하여 Chrome의 개발자 모드를 이용해 매번 Chrome을 실행할 때마다 서명되지 않은 확장 프로그램을 자동으로 재주입할 수 있습니다. 쿠키가 훔쳐지면, 공격자는 다른 훔쳐진 쿠키와 마찬가지로 브라우저에 쿠키를 주입합니다. 이는 Cookie-Editor Chrome 확장 프로그램과 같은 도구를 통해 이루어집니다.
- "Cookie-Bite"는 브라우저 확장 프로그램을 이용해 Azure Entra ID의 브라우저 세션 쿠키를 훔쳐 멀티 팩터 인증을 우회하는 공격이다.
- 이 공격은 Varonis 보안 연구원들이 개발하였으며, 은밀성과 지속성 때문에 주목받고 있다.
- 공격자는 PowerShell 스크립트를 이용해 Chrome의 개발자 모드를 이용하여 매번 Chrome을 실행할 때마다 서명되지 않은 확장 프로그램을 자동으로 재주입한다.
- 쿠키가 훔쳐지면, 공격자는 다른 훔쳐진 쿠키와 마찬가지로 브라우저에 쿠키를 주입한다.
- 이 공격은 Microsoft 365, Outlook, Teams 등의 클라우드 서비스에 대한 접근을 유지할 수 있게 한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.