¿Por qué las Cookies?

Las cookies del navegador son un mecanismo excelente para burlar la autenticación y el MFA. Debido a que el usuario ya se ha autenticado en la aplicación, la cookie de sesión simplemente se puede utilizar para acceder a los datos como ese usuario, sin necesidad de volver a autenticarse.

Puedes ver dónde se encuentran las cookies del navegador en:

Ataque

La parte desafiante es que esas cookies están encriptadas para el usuario a través de la API de Protección de Datos de Microsoft (DPAPI). Están encriptadas utilizando claves criptográficas vinculadas al usuario a las que pertenecen las cookies. Puedes encontrar más información al respecto en:

Con Mimikatz en mano, puedo extraer las cookies de un usuario aunque estén encriptadas con este comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Para Azure, nos importan las cookies de autenticación, incluidas ESTSAUTH, ESTSAUTHPERSISTENT y ESTSAUTHLIGHT. Estas están presentes porque el usuario ha estado activo en Azure recientemente.

Simplemente navega a login.microsoftonline.com y agrega la cookie ESTSAUTHPERSISTENT (generada por la opción "Mantener la sesión iniciada") o ESTSAUTH. Y estarás autenticado.

Referencias

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/