Az - Pass the Cookie

Por que Cookies?

Cookies de navegador são um ótimo mecanismo para contornar a autenticação e MFA. Como o usuário já se autenticou no aplicativo, a cookie de sessão pode ser usada para acessar dados como aquele usuário, sem precisar se re-autenticar.

Você pode ver onde estão as cookies do navegador em:

Browser ArtifactsHackTricks

Ataque

A parte desafiadora é que essas cookies estão criptografadas para o usuário via a API de Proteção de Dados da Microsoft (DPAPI). Isso é criptografado usando chaves criptográficas ligadas ao usuário a que as cookies pertencem. Você pode encontrar mais informações sobre isso em:

Com o Mimikatz em mãos, sou capaz de extrair as cookies de um usuário mesmo que estejam criptografadas com este comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para o Azure, nos importamos com os cookies de autenticação, incluindo ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Eles estão lá porque o usuário tem estado ativo no Azure recentemente.

Basta navegar para login.microsoftonline.com e adicionar o cookie ESTSAUTHPERSISTENT (gerado pela opção “Permanecer Conectado”) ou ESTSAUTH. E você será autenticado.

Referências

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/