Pourquoi les Cookies?

Les cookies du navigateur sont un excellent mécanisme pour contourner l'authentification et le MFA. Comme l'utilisateur s'est déjà authentifié dans l'application, le cookie de session peut simplement être utilisé pour accéder aux données en tant qu'utilisateur, sans avoir besoin de se ré-authentifier.

Vous pouvez voir où se trouvent les cookies du navigateur dans:

Attaque

La partie difficile est que ces cookies sont chiffrés pour l'utilisateur via l'API de protection des données Microsoft (DPAPI). Cela est chiffré à l'aide de clés cryptographiques liées à l'utilisateur auxquelles appartiennent les cookies. Vous pouvez trouver plus d'informations à ce sujet dans:

Avec Mimikatz en main, je suis capable d'extraire les cookies d'un utilisateur même s'ils sont chiffrés avec cette commande:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Pour Azure, nous nous intéressons aux cookies d'authentification, y compris ESTSAUTH, ESTSAUTHPERSISTENT, et ESTSAUTHLIGHT. Ceux-ci sont présents car l'utilisateur a été actif sur Azure récemment.

Il suffit de naviguer sur login.microsoftonline.com et d'ajouter le cookie ESTSAUTHPERSISTENT (généré par l'option "Rester connecté") ou ESTSAUTH. Et vous serez authentifié.

Références

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/