Neden Çerezler?

Tarayıcı çerezleri, kimlik doğrulamayı ve MFA'yı atlamak için harika bir mekanizmadır. Kullanıcı zaten uygulamada kimlik doğruladığı için oturum çerezi, yeniden kimlik doğrulama yapmadan kullanıcı olarak verilere erişmek için kullanılabilir.

Tarayıcı çerezlerinin nerede bulunduğunu aşağıdaki linkte görebilirsiniz:

Saldırı

Zor olan kısım, bu çerezlerin kullanıcı için Microsoft Veri Koruma API'si (DPAPI) aracılığıyla şifrelenmiş olmasıdır. Bu, çerezlere ait olan kullanıcıya bağlı şifreleme anahtarlarıyla şifrelenir. Bu konu hakkında daha fazla bilgiyi aşağıdaki linkte bulabilirsiniz:

Mimikatz ile, bu komutu kullanarak bir kullanıcının çerezlerini şifreli olsalar bile çıkarabiliyorum:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit

Azure için, ESTSAUTH, ESTSAUTHPERSISTENT ve ESTSAUTHLIGHT gibi kimlik doğrulama çerezlerine dikkat ediyoruz. Bunlar, kullanıcının Azure üzerinde son zamanlarda etkin olduğunu gösterir.

Sadece login.microsoftonline.com adresine gidin ve ESTSAUTHPERSISTENT (Stay Signed In seçeneğiyle oluşturulan) veya ESTSAUTH çerezini ekleyin. Böylece kimlik doğrulaması yapabilirsiniz.

Referanslar

• https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/