Investigadores han presentado una nueva táctica llamada “Cookie-Bite”, que se enfoca en el robo de cookies a través de extensiones maliciosas de navegadores. Aunque el robo de cookies de sesión no es un concepto nuevo, la utilización de una extensión como prueba de concepto (PoC) resalta la gravedad del problema.
La Amenaza de Cookie-Bite: Acceso Persistente a Cuentas
En un artículo reciente, expertos de Varonis explican cómo una extensión dañina puede facilitar el acceso continuo a cuentas de usuario. Este ataque, denominado “Cookie-Bite”, muestra cómo se pueden robar cookies de sesión, eludiendo las medidas de seguridad al iniciar sesión.
Detalles del Ataque y su Ejecución
Para demostrar esta vulnerabilidad, los investigadores utilizaron una extensión de navegador diseñada específicamente para robar cookies. En su estudio, se enfocaron en cookies relacionadas con la autenticación de Azure, aunque aclararon que esta técnica puede aplicarse a otros servicios. La vulnerabilidad depende de cómo cada servicio maneje las sesiones y la seguridad de las cookies.
Cookies Objetivo: Una Puerta Abierta a Microsoft
Los investigadores se centraron en las cookies ‘ESTAUTH‘ y ‘ESTSAUTHPERSISTNT‘ de Azure Entra ID. Estas cookies permiten y mantienen el acceso autenticado a servicios de Microsoft, como Microsoft 365 y Azure Portal. A pesar de que los usuarios implementan medidas como la **autenticación multifactor**, el ataque Cookie-Bite puede robar estas cookies y obtener acceso sin necesidad de credenciales.
Impacto Potencial y Servicios Afectados
En el peor de los escenarios, un atacante podría usar este tipo de abuso para moverse lateralmente en entornos de nube. Con acceso permanente a servicios críticos, los atacantes podrían obtener datos sensibles sin restricciones. Además de Microsoft Azure, se incluyen otros servicios importantes, como Google Workspace y AWS Management Console, que son vulnerables a este ataque.
Medidas de Prevención Contra Cookie-Bite
Es importante destacar que Cookie-Bite no requiere malware complejo para llevar a cabo el robo. Utiliza un script sencillo, lo que dificulta su detección. El ataque se realiza a través del navegador, eludiendo las comprobaciones de inicio de sesión en cada intento.
Los investigadores sugieren varias medidas para prevenir este tipo de ataques. Estas incluyen realizar análisis exhaustivos para detectar comportamientos inusuales de usuarios, utilizar Microsoft Risk para identificar inicios de sesión atípicos, implementar Políticas de Acceso Condicional para restringir el acceso no autorizado y aplicar políticas ADMX de Chrome para limitar las extensiones de navegador a una lista de permitidos.
¿Qué opinas sobre este tema? ¡Déjanos tu comentario!
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
