Una sofisticada técnica de ataque llamada “mordedura de cookies” permite que los ciberdelincuentes pasen por alto silenciosamente la autenticación multifactor (MFA) y mantengan el acceso persistente a los entornos de la nube.
Varonis Threat Labs ha revelado que los atacantes usan efectivamente las cookies robadas del navegador para hacerse pasar por usuarios legales sin la necesidad de credenciales y les proporcionan efectivamente la abolición de las protecciones tradicionales de MFA.
El ataque se dirige a las cookies críticas de autenticación utilizadas en Azure Entra IDS (anteriormente Azure Active Directory), particularmente Estauth y Estsauthpersistent. Estas cookies mantienen sesiones de nube autenticadas y permiten el acceso a Microsoft 365, el portal de Azure y una variedad de aplicaciones empresariales.
“El secuestro de estos tokens de sesión permite a los atacantes evitar el MFA, hacerse pasar por los usuarios y mover el entorno de la nube horizontalmente”, explicaron los investigadores. “Esto los convierte en uno de los objetivos más valiosos para los infantes de infantes y los actores de amenazas”.
Ataque AITM
Los cibercriminales han adoptado múltiples métodos para robar estas cookies autenticadas.
Use herramientas de proxy inversa para interceptar ataques intermedios (AITM) en tiempo real. Proceso del navegador Memoria de amortiguación de la memoria Extrae cookies descifradas de las sesiones activas. Una extensión maliciosa del navegador que accede a las cookies directamente dentro del contexto de seguridad del navegador. Descifrar bases de datos de cookies de navegador almacenadas localmente.
La prueba de concepto del investigador demostró cómo crear una extensión de Chrome personalizada que extraiga en silencio las cookies de autenticación cada vez que un usuario inicia sesión en el portal de autenticación de Microsoft.
POC
Estas cookies se extienden a los servidores de control de los atacantes e inyectan el navegador del actor de amenaza para acceder instantáneamente a la sesión de nubes de la víctima.
Acceso permanente sin credenciales
Lo que hace que las galletas mortales sea particularmente peligrosa es su naturaleza persistente. A diferencia del robo de calificación tradicional, esta técnica no requiere que conozca la contraseña de la víctima o que intercepte el código MFA. Una vez implementado, la extensión maliciosa continuará extrayendo cookies de autenticación frescas cada vez que la víctima inicie sesión.
“Esta técnica extrae continuamente cookies de sesión válidas y proporciona acceso no autorizado a largo plazo, incluso si se cambia la contraseña o se revoca la sesión”, dijeron los investigadores.
De más preocupación es la capacidad de atacar la Política de acceso condicional (CAP) de omisión, que implementa a las organizaciones como una capa adicional de seguridad.
Los atacantes pueden imitar con precisión los patrones de acceso legítimos al reunir detalles sobre el entorno de la víctima, como el dominio, el nombre de host, el sistema operativo, la dirección IP y las huellas digitales del navegador.
Si la autenticación es exitosa, un atacante puede acceder a aplicaciones empresariales críticas como Microsoft Graph Explorer, enumerar a los usuarios, acceder al correo electrónico y aumentar los privilegios dentro de la organización.
Los expertos en seguridad recomiendan varias medidas para protegerlo de los ataques con mordeduras de cookies.
Controle continuamente los patrones de comportamiento del usuario anormales y los signos sospechosos. Use la detección de riesgos de Microsoft durante los eventos de inicio de sesión. Configure una política de acceso condicional que haga cumplir los inicios de sesión solo de dispositivos compatibles. Implemente las políticas de Chrome para limitar las extensiones del navegador a las listas de permiso aprobadas. Disgima mecanismos de protección de tokens para detectar y prevenir el robo de tokens.
A medida que la adopción de la nube se acelera, estas técnicas de secuestro de cookies destacan la naturaleza evolutiva de los ataques basados en la autenticación. Las organizaciones deben adaptar sus actitudes de seguridad para abordar estas amenazas sofisticadas dirigidas a los mecanismos de confianza fundamentales de los sistemas de autenticación de nubes.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
