Visto che le sessioni php necessitano di cookie e' quasi scontato che tali cookies di sessioni non siano validi per 2 sottodomini differenti in quanto proprio se li imposti come path "/" il persorso inzia dall'url del sottodomio a ed e' differente dal sottodominio B

Potresti "cheatare" e fare in modo di generare 2 cookies a creazione della sessione uno valido nel sottodominio A e l'altro nel sottodominio D.
QUindi avresti lo stesso cookie replicato e le sessioni potrebbere venire intercettate correttamente.

Nel cookie inserisci 2 dati fondamentali 1 un token generato con algoritmo di hashing che rappresenti alcuni dati fondamentali dello user (ad esempio email e login).
Quando carichi il cookie per controllare se l'utente e' autorizzato esegui una query sul db utenti cercando quell'hash ( rif: http://dev.mysql.com/doc/refman/5.5/...functions.html )

"quindi select * from users where md5( concat(email,login) ) = '".$token."' " ;