كشف باحثون في مجال الأمن السيبراني عن تقنية هجوم جديدة تُدعى “Cookie-Bite”، تعتمد على إضافات متصفح ضارة مصممة خصيصًا لسرقة ملفات تعريف الارتباط (كوكيز) الخاصة بالمصادقة في Microsoft Azure Entra ID، مما يتيح للمهاجمين تجاوز المصادقة متعددة العوامل (MFA).
ويتكون هجوم Cookie-Bite من عدة مراحل متكاملة:
-
إضافة Chrome خبيثة: تراقب أحداث المصادقة وتسرق ملفات تعريف الارتباط “ESTAUTH” و“ESTSAUTHPERSISTNT”، المسؤولة عن إدارة جلسات المستخدمين.
-
نص PowerShell: يُستخدم لأتمتة نشر الإضافة الضارة وضمان استمرار عملها على الجهاز المُستهدف.
-
آلية تسريب البيانات: تُرسل الكوكيز المسروقة إلى خادم تحكم لدى المهاجمين.
-
إضافة متصفح ثانوية: تُستخدم لحقن الكوكيز المسروقة في متصفح المهاجم، مما يمكنه من انتحال هوية الضحية دون الحاجة إلى كلمة المرور أو المصادقة الثنائية.
تهديد متطور يتجاوز أنظمة الحماية
وفقًا لشركة Varonis للأمن السيبراني، يستغل المهاجمون هذه التقنية لمحاكاة نظام التشغيل والمتصفح وشبكة الضحية، مما يمكنهم من:
-
تجاوز سياسات الوصول المشروط (CAPs) في منصات مثل Azure.
-
الحفاظ على وصول مستمر إلى حسابات الضحايا دون تنبيه أنظمة الأمان.
-
التنقل الأفقي داخل شبكة المؤسسة للوصول إلى بيانات حساسة أو رفع الصلاحيات.
كيف تتم سرقة كوكيز المصادقة؟
بالإضافة إلى هجوم Cookie-Bite، يمكن سرقة ملفات تعريف الارتباط عبر:
-
هجمات الرجل في المنتصف (AitM) عبر صفحات phishing متطورة.
-
إضافات متصفح ضارة تطلب صلاحيات واسعة لقراءة جلسات المستخدمين وتعديل محتوى الصفحات.
-
برامج سرقة المعلومات (Infostealers) التي تستهدف أجهزة الضحايا مباشرةً أو تشتري البيانات من الأسواق السرية.
كيف تحمي مؤسستك؟
-
مراجعة صلاحيات إضافات المتصفح وحذف غير الضرورية منها.
-
تفعيل المراقبة الأمنية لاكتشاف أنشطة غير معتادة في جلسات المستخدمين.
-
توعية الموظفين بعدم تثبيت إضافات غير موثوقة أو النقر على روابط مشبوهة.
يُعد هجوم Cookie-Bite تذكيرًا خطيرًا بضرورة تعزيز إجراءات حماية هويات المستخدمين في البيئات السحابية، خاصة مع تزايد اعتماد المؤسسات على خدمات مثل Microsoft Azure.
