Az - Pass the Cookie

¿Por qué Cookies?

Las cookies del navegador son un gran mecanismo para eludir la autenticación y MFA. Dado que el usuario ya se ha autenticado en la aplicación, la cookie de sesión se puede usar para acceder a datos como ese usuario, sin necesidad de volver a autenticarse.

Puedes ver dónde están ubicadas las cookies del navegador en:

Ataque

La parte desafiante es que esas cookies están encriptadas para el usuario a través de la API de Protección de Datos de Microsoft (DPAPI). Esto se encripta utilizando claves criptográficas vinculadas al usuario al que pertenecen las cookies. Puedes encontrar más información sobre esto en:

Con Mimikatz en mano, puedo extraer las cookies de un usuario aunque estén encriptadas con este comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para Azure, nos importan las cookies de autenticación, incluyendo ESTSAUTH, ESTSAUTHPERSISTENT y ESTSAUTHLIGHT. Estas están presentes porque el usuario ha estado activo en Azure recientemente.

Simplemente navega a login.microsoftonline.com y añade la cookie ESTSAUTHPERSISTENT (generada por la opción “Mantener sesión iniciada”) o ESTSAUTH. Y estarás autenticado.

Referencias

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/