Perché i Cookie?

I cookie del browser sono un ottimo meccanismo per eludere l'autenticazione e l'MFA. Poiché l'utente si è già autenticato nell'applicazione, il cookie di sessione può essere utilizzato per accedere ai dati come quell'utente, senza la necessità di una nuova autenticazione.

Puoi vedere dove si trovano i cookie del browser in:

Attacco

La parte difficile è che quei cookie sono criptati per l'utente tramite l'API di protezione dei dati di Microsoft (DPAPI). Questo viene criptato utilizzando chiavi legate all'utente a cui appartengono i cookie. Puoi trovare ulteriori informazioni al riguardo in:

Con Mimikatz in mano, sono in grado di estrarre i cookie di un utente anche se sono criptati con questo comando:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Per Azure, ci interessano i cookie di autenticazione, tra cui ESTSAUTH, ESTSAUTHPERSISTENT e ESTSAUTHLIGHT. Questi sono presenti perché l'utente è stato attivo su Azure di recente.

Basta navigare su login.microsoftonline.com e aggiungere il cookie ESTSAUTHPERSISTENT (generato dall'opzione "Rimani connesso") o ESTSAUTH. In questo modo verrai autenticato.

Riferimenti

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/