Los ataques Pass-the-Cookie permiten a los atacantes eludir la autenticación multifactor (MFA) mediante el robo de cookies de sesión. Estas cookies, como ESTSAUTH en Microsoft, permiten a los usuarios permanecer autenticados sin necesidad de volver a ingresar sus credenciales. Si un atacante obtiene una cookie válida, puede reutilizarla para acceder a la cuenta de la víctima sin requerir credenciales ni MFA. El robo de cookies suele realizarse con herramientas como LummaC2, Redline o Racoon, propagadas a través de phishing o descargas fraudulentas.
Para mitigar estos ataques, se recomienda una combinación de controles detectivos, como el monitoreo de actividad inusual y análisis de comportamiento, junto con controles preventivos, como políticas de acceso condicional y restricciones de IP, entre otras.