
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
ConsentFix i ClickFix to nowoczesne techniki socjotechniczne służące do przejmowania dostępu do kont Microsoft 365 bez potrzeby klasycznego łamania hasła. Ich skuteczność wynika z wykorzystania zaufanych elementów procesu logowania, autoryzacji oraz codziennych interakcji użytkownika z przeglądarką i systemem.
W praktyce atakujący nie muszą przełamywać zabezpieczeń w tradycyjnym rozumieniu. Wystarczy skłonić ofiarę do wykonania kilku działań, które wyglądają na legalne i rutynowe, a następnie wykorzystać uzyskane tokeny sesyjne lub zgody aplikacyjne do przejęcia dostępu.
W skrócie
ConsentFix to technika ukierunkowana na przejęcie tokenów i sesji Microsoft 365 z wykorzystaniem przepływów zgody OAuth. ClickFix bazuje natomiast na fałszywych komunikatach, które nakłaniają użytkownika do wykonania określonych czynności, takich jak użycie skrótów klawiaturowych, wklejenie polecenia lub uruchomienie przygotowanej komendy.
W obu przypadkach najważniejsza jest manipulacja zachowaniem użytkownika, a nie klasyczna podatność techniczna. Skutkiem może być dostęp do poczty, dokumentów i usług organizacyjnych bez konieczności przechwycenia hasła czy bezpośredniego obejścia MFA.
Kontekst / historia
Ataki typu ClickFix zyskały dużą popularność w 2025 roku, ponieważ dobrze wpisywały się w ewolucję kampanii phishingowych. Zamiast ograniczać się do fałszywych stron logowania, przestępcy zaczęli wykorzystywać wyuczone nawyki użytkowników: potwierdzanie komunikatów, wykonywanie instrukcji ekranowych i przechodzenie przez kolejne etapy weryfikacji bez głębszej analizy.
ConsentFix rozwija ten model. Ciężar ataku przesuwa się z uruchomienia kodu na stacji roboczej na przejęcie sesji i tokenów w ekosystemie Microsoft 365. To podejście obniża próg wejścia dla kolejnych grup zagrożeń i sprawia, że technika może być szybko adaptowana przez operatorów phishingu, brokerów dostępu początkowego oraz grupy specjalizujące się w atakach na środowiska chmurowe.
Analiza techniczna
ClickFix opiera się na przygotowaniu wiarygodnie wyglądającego komunikatu, który imituje standardowy etap weryfikacji lub naprawy problemu technicznego. Ofiara otrzymuje instrukcję wykonania konkretnej sekwencji działań, na przykład użycia skrótu klawiaturowego, wklejenia treści do okna systemowego albo uruchomienia polecenia pod pretekstem potwierdzenia tożsamości lub odblokowania dostępu.
Kluczowe jest to, że szkodliwe działanie inicjuje sam użytkownik. Taki model utrudnia wykrycie ataku, ponieważ z perspektywy części narzędzi bezpieczeństwa operacja może wyglądać jak legalna aktywność wykonywana w kontekście uprawnionego konta.
ConsentFix działa bardziej subtelnie i wykorzystuje zaufanie do legalnie wyglądającego procesu logowania Microsoft. Scenariusz zwykle rozpoczyna się od wiadomości phishingowej albo przynęty osadzonej w wiarygodnym kontekście. Następnie ofiara trafia do ekranu przypominającego standardowy proces uwierzytelniania i wykonuje nietypowy krok, który prowadzi do przekazania elementów sesji lub tokenów OAuth.
Z technicznego punktu widzenia jest to szczególnie niebezpieczne, ponieważ napastnik nie musi znać hasła użytkownika. Jeśli zdobędzie ważny token lub przejmie aktywną sesję, może uzyskać dostęp do skrzynki pocztowej, danych użytkownika i innych usług chmurowych zgodnie z zakresem nadanych uprawnień. W takim modelu MFA nie zawsze zatrzymuje atak, ponieważ chroni etap logowania, a nie późniejsze wykorzystanie już ważnej sesji.
Dodatkowym czynnikiem ryzyka jest dystrybucja przynęty z użyciem wiarygodnie wyglądających usług oraz mechanizmów utrudniających analizę, takich jak zasoby chronione hasłem czy wieloetapowe przekierowania. To ogranicza skuteczność tradycyjnych filtrów antyphishingowych, szczególnie w kampaniach ukierunkowanych na konkretne organizacje.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem jest przejęcie konta Microsoft 365 bez pozyskania poświadczeń w klasycznej formie. Oznacza to ryzyko nieautoryzowanego dostępu do poczty elektronicznej, dokumentów, kontaktów, kalendarzy oraz danych biznesowych przetwarzanych w usługach chmurowych.
Przejęta skrzynka może zostać wykorzystana do dalszych ataków, w tym Business Email Compromise, resetowania haseł w innych systemach, rozsyłania kolejnych wiadomości phishingowych oraz prowadzenia rozpoznania wewnątrz organizacji. W środowiskach silnie zintegrowanych z Entra ID i aplikacjami SaaS pojedyncza kompromitacja sesji może stać się punktem wyjścia do ruchu bocznego i szerszej eskalacji.
Ryzyko zwiększa również fakt, że użytkownik często nie postrzega swojego działania jako błędu bezpieczeństwa. Nie wpisuje hasła na oczywiście fałszywej stronie i nie pobiera typowego malware, dlatego incydent może zostać wykryty dopiero po zaobserwowaniu anomalii logowania, nietypowego użycia tokenów lub podejrzanej aktywności w skrzynce pocztowej.
Rekomendacje
Organizacje powinny traktować ConsentFix i ClickFix jako ataki skoncentrowane na tożsamości, sesji i zachowaniach użytkownika. Ochrona samych poświadczeń nie jest już wystarczająca, dlatego szkolenia bezpieczeństwa muszą obejmować również scenariusze związane z nietypowymi krokami podczas logowania i autoryzacji.
- monitorowanie nietypowych zdarzeń OAuth oraz zgód aplikacyjnych,
- analiza logowań oparta na ryzyku, geolokalizacji i kontekście sesji,
- detekcja nowych lub nieoczekiwanych tokenów sesyjnych,
- korelacja telemetrii z endpointów z danymi tożsamościowymi,
- alertowanie o nietypowych działaniach PowerShell i procesach uruchamianych przez użytkownika,
- skrócenie czasu życia sesji i wdrożenie bardziej restrykcyjnych polityk dostępu warunkowego,
- regularny przegląd uprawnień aplikacji i zgód w dzierżawie Microsoft 365.
Istotne jest także przygotowanie procedur reakcji na przejęcie sesji. Powinny one obejmować unieważnianie tokenów, wymuszanie ponownego logowania, przegląd ostatnich zgód OAuth, analizę aktywności skrzynki pocztowej oraz ocenę, czy konto nie zostało użyte do dalszej eskalacji lub phishingu wewnętrznego.
Podsumowanie
ConsentFix i ClickFix pokazują, że współczesne kampanie phishingowe coraz częściej odchodzą od klasycznej kradzieży haseł na rzecz nadużywania prawidłowych procesów i odruchów użytkownika. Atakujący wykorzystują zaufanie do legalnie wyglądających przepływów logowania i autoryzacji, aby przejmować aktywne sesje oraz tokeny.
Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia uwagi z samej ochrony poświadczeń na pełny monitoring tożsamości, sesji i zachowań użytkowników. Najskuteczniejszą odpowiedzią będzie połączenie świadomości zagrożeń, analityki tożsamości, telemetrii endpointów i szybkiej reakcji na anomalie w środowisku Microsoft 365.
Źródła
- BleepingComputer – ConsentFix and ClickFix: How Microsoft 365 Accounts are Hijacked in 3 Seconds
- Huntress – ClickFix
- Microsoft Learn – Identity platform and OAuth 2.0 authorization code flow
- Microsoft Learn – Review permissions granted to enterprise applications
- Microsoft Learn – Revoke user sessions and refresh tokens