記事本文(要約)
Azure Entra IDの認証クッキーであるESTSAUTHとESTSAUTHPERSISTENTを悪用することで、多要素認証(MFA)を回避し、正当なユーザーセッションをハイジャックできる脆弱性が発見されました。これは”Cookie Bite”と名付けられた新たな攻撃手法で、Microsoft 365のリソースに持続的なアクセスを得ることが可能となります。この手法は多くの組織に影響を及ぼすとVaronis Threat Labsが発表しました。
攻撃者は認証クッキーを盗むことでMFAをバイパスし、正当なユーザを装って組織内部での攻撃を行う可能性があります。Varonisが開発したProof of Conceptでは、カスタムのChrome拡張機能とPowerShellを用いてクッキーを持続的に盗む方法が示されています。この攻撃は検出が困難であり、セキュリティ専門家は異常なユーザー行動を監視し、許可されたブラウザ拡張機能のホワイトリストを実施することを推奨しています。Microsoftはこの問題へのコメントをしていませんが、Varonisは詳細な防御策も提供しています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 22 Apr 2025 16:46:51 GMT
Original URL: https://www.darkreading.com/remote-workforce/cookie-bite-entra-id-attack-exposes-microsoft-365
詳細な技術情報
- 脆弱性の仕組み
- 攻撃は、Azure Entra IDが使用する2つの認証クッキー(ESTSAUTHとESTSAUTHPERSISTENT)を悪用します。
- ESTSAUTH: 一時的なセッショントークンであり、ブラウザセッションの間のみ有効です。
- ESTSAUTHPERSISTENT: 永続的なセッショントークンであり、ブラウザが閉じられた後も残ります。
- 攻撃は、Azure Entra IDが使用する2つの認証クッキー(ESTSAUTHとESTSAUTHPERSISTENT)を悪用します。
- 攻撃手法
- 攻撃手法は以下のステージで構成されます。
- 1. カスタムChrome拡張機能を用いて認証イベントを監視し、クッキーをキャプチャ。
- 2. PowerShellスクリプトで拡張機能の展開と持続性を確保。
- 3. クッキーを外部の収集ポイントに送信するエクスフィルトレーションメカニズム。
- 4. 攻撃者のブラウザにクッキーを注入する補助拡張機能。
- 攻撃手法は以下のステージで構成されます。
- 潜在的な影響
- データの流出や偵察活動: 正当なユーザーを装い、内部ネットワークにアクセスすることで情報収集。
- 特権のエスカレーション: より高い権限を得ることでシステム全体を制御。
- 持続的アクセスの確立: セッション情報を永続的に保持し続け、攻撃活動を継続。
- MFAの回避: セッションを乗っ取ることで追加の認証手段を無効に。
- 推奨される対策
- 異常なサインインの検出: Microsoft Riskや類似のツールを使用し、異常なサインインイベントをモニタリング。
- ブラウザセキュリティの強化: Chrome ADMXポリシーを用いて、信頼された拡張機能のみの許可。
- セッション管理の改善: クッキーの監視と疑わしい動作のリアルタイムでの警告。
