Zašto kolačići?

Browser kolačići su odličan mehanizam za zaobilaženje autentifikacije i MFA. Pošto se korisnik već autentifikovao u aplikaciji, sesioni kolačić se može koristiti za pristup podacima kao taj korisnik, bez potrebe za ponovnom autentifikacijom.

Možete videti gde se nalaze browser kolačići na:

Napad

Izazovni deo je što su ti kolačići enkriptovani za korisnika putem Microsoft Data Protection API (DPAPI). Ovo je enkriptovano korišćenjem kriptografskih ključeva vezanih za korisnika kojima pripadaju kolačići. Više informacija o tome možete pronaći na:

Sa Mimikatz-om u ruci, mogu izvući korisničke kolačiće čak i ako su enkriptovani ovom komandom:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Za Azure, brinemo o autentifikacionim kolačićima, uključujući ESTSAUTH, ESTSAUTHPERSISTENT i ESTSAUTHLIGHT. Oni su tu zato što je korisnik nedavno bio aktivan na Azure-u.

Jednostavno idite na login.microsoftonline.com i dodajte kolačić ESTSAUTHPERSISTENT (generisan opcijom "Ostani prijavljen") ili ESTSAUTH. I bićete autentifikovani.

Reference

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/