Este ataque consiste en suplantar la identidad de un usuario en una aplicación web robando su "cookie" de sesión y luego utilizándola para que el atacante se identifique contra ella.

Cuando iniciamos sesión en las aplicaciones web se genera un pequeño token (cadena alfanumérica que debería ser única para cada sesión y eliminarse al cerrar la sesión) que identifica al usuario contra la aplicación. Esto se hace para no tener que registrarse todo el rato (pensemos que estamos en un edificio y es la tarjeta de identificación que nos darían al entrar).

Lo que hace este ataque es "robar" (copiar) esa "cookie" de sesión legítima (la tarjeta de identificación) y luego el atacante la usa para acceder a la web como si fuera la víctima (entrar en el edificio de nuestro ejemplo).

Para robar la "cookie" se suelen utilizar otros ataques: phishing, interceptación de comunicaciones, etc.

Poco que añadir a los comentarios anteriores, que explican claramente el problema.
Solamente quería incidir en el hecho de que si el atacante puede "robar" la "cookie", hay un problema de seguridad más preocupante que el propio hecho de que te la roben.
La prensa generalista afirma cosas como "Un nuevo ataque", lo que es falso. Esta técnica se conoce desde el primer momento que se empiezan a utilizar cookies de este tipo, hace muchos años.
También afirman, de forma alarmista "Incluso pueden adquirirlas de una forma bastante simple desde la Dark Web, facilitando aún más sus ataques" obviando el hecho de que para adquirirlas alguien las tiene que haber robado antes.
 
En resumen, ¿es un potencial problema de seguridad? Sí, pero para que se convierta en problema real tienes que tener otras vulnerabilidades mucho más importantes previamente. Otra cosa sorprendente de muchos artículos al respecto, cuando hablan de cómo protegerse, no mencionan lo obvio: no dejando abiertas las sesiones en los sitios que se visitan.

Cuando navegamos por Internet, en ocasiones, nos encontramos con un mensaje que nos informa sobre el uso de las cookies y nos pide nuestro consentimiento, pero, ¿realmente sabemos qué estamos aceptando?

Las cookies son pequeños ficheros con información que se almacenan en nuestro dispositivo cuando visitamos un sitio web. Estas cookies contienen información que la web utiliza con diferentes fines, como recordar las preferencias del usuario, mejorar su experiencia en línea u ofrecerle un servicio más personalizado. Uno de los usos es mantener la sesión para que no nos vuelva a solicitar nuestras credenciales. Esta cookie se convierte en una credencial temporal que verifica la identidad del usuario mientras navega por la aplicación. Sin embargo, los atacantes pueden aprovechar vulnerabilidades como el mal desarrollo de scripts entre sitios, el phishing o malware para robar las cookies de sesión.

Una vez en posesión de una cookie de sesión robada, el atacante puede inyectarla en su propio navegador y aparentar ser el usuario legítimo. La aplicación web confía en la cookie y otorga acceso completo al atacante.