ConsentFix v3 uderza w Azure: zautomatyzowany phishing OAuth omija klasyczne zabezpieczenia

Wprowadzenie do problemu / definicja

ConsentFix v3 to zaawansowana technika phishingowa wymierzona w konta Microsoft oraz środowiska Azure i Microsoft Entra ID. Jej istotą nie jest kradzież hasła, lecz przejęcie kodu autoryzacyjnego OAuth 2.0, który następnie może zostać wymieniony na tokeny dostępu i odświeżania. To oznacza, że ofiara może przejść przez prawidłowy proces logowania, a mimo to utracić kontrolę nad sesją i zasobami.

To podejście stanowi istotną zmianę w krajobrazie zagrożeń tożsamościowych. Napastnicy coraz częściej wykorzystują legalne mechanizmy uwierzytelniania i autoryzacji, aby obejść zabezpieczenia nastawione głównie na wykrywanie fałszywych stron logowania lub wyłudzania haseł.

W skrócie

ConsentFix v3 to bardziej dojrzała i zautomatyzowana wersja wcześniejszych wariantów tej techniki. Kampania łączy socjotechnikę, wykorzystanie zaufanych aplikacji pierwszej strony Microsoft oraz automatyczną wymianę przechwyconego kodu OAuth na tokeny, co znacząco skraca czas potrzebny do przejęcia konta.

• atak nie wymaga poznania hasła ofiary,
• logowanie odbywa się przez legalny punkt logowania Microsoft,
• MFA nie musi zostać złamane, aby doszło do kompromitacji,
• ataki są skalowalne i mogą być silnie spersonalizowane,
• celem są przede wszystkim środowiska Azure i Entra ID.

Kontekst / historia

ConsentFix jest rozwinięciem wcześniejszych ataków z rodziny ClickFix, w których użytkownik był nakłaniany do wykonania określonych działań w pozornie wiarygodnym kontekście systemowym lub przeglądarkowym. W poprzednich wariantach ofiara była przekonywana do skopiowania i wklejenia adresu localhost zawierającego kod autoryzacyjny OAuth.

W wersji v3 ten model został rozbudowany o szerszą automatyzację i pełniejszy łańcuch operacyjny. Napastnicy najpierw identyfikują organizacje korzystające z tenantów Azure, a następnie gromadzą informacje o pracownikach, rolach i adresach e-mail. Dane te służą do przygotowania bardziej przekonujących kampanii phishingowych, które trudniej odróżnić od legalnej komunikacji.

Znaczenie tego wariantu wynika również z faktu, że atak bazuje na poprawnych, wspieranych mechanizmach tożsamości Microsoft. W efekcie złośliwa aktywność może wizualnie i technicznie przypominać zwykły proces uwierzytelniania.

Analiza techniczna

Rdzeniem ataku jest nadużycie przepływu OAuth 2.0 Authorization Code Flow. W prawidłowym scenariuszu użytkownik loguje się do legalnego endpointu Microsoft, a aplikacja otrzymuje kod autoryzacyjny, który wymienia na token dostępu. ConsentFix v3 przechwytuje właśnie ten kod, zanim trafi on do zaufanej aplikacji w oczekiwanym kontekście.

Łańcuch ataku zwykle przebiega według następującego schematu:

• napastnik identyfikuje organizację korzystającą z Azure lub Microsoft Entra ID,
• zbiera informacje o pracownikach i przygotowuje spersonalizowane przynęty,
• uruchamia stronę phishingową imitującą interfejs Microsoft lub Azure,
• inicjuje rzeczywisty przepływ OAuth wobec legalnego punktu logowania,
• po zalogowaniu ofiara otrzymuje adres localhost zawierający kod autoryzacyjny,
• użytkownik zostaje nakłoniony do wklejenia lub przeciągnięcia tego adresu do strony kontrolowanej przez przestępców,
• backend atakującego automatycznie wymienia przechwycony kod na tokeny,
• uzyskane tokeny są używane do dostępu do poczty, plików i innych zasobów.

Ważnym elementem wersji v3 jest automatyzacja. Specjalne komponenty działają jak pośrednik i webhook, który niemal natychmiast po przechwyceniu kodu dokonuje jego wymiany na tokeny. Zmniejsza to udział operatora i zwiększa skalowalność kampanii.

Istotne jest również wykorzystanie aplikacji pierwszej strony Microsoft, które cieszą się wysokim poziomem zaufania w ekosystemie Entra ID. To utrudnia detekcję, ponieważ wiele mechanizmów ochronnych jest projektowanych z myślą o klasycznych kampaniach phishingowych, a nie o nadużywaniu legalnych przepływów OAuth. W praktyce nawet MFA może okazać się niewystarczające, jeśli użytkownik poprawnie zakończy autoryzację, a przeciwnik przejmie jej rezultat.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem ConsentFix v3 jest przejęcie konta bez konieczności zdobycia hasła. To zmienia model zagrożenia, ponieważ organizacje często traktują MFA jako główną ochronę przed phishingiem. W tym przypadku nie dochodzi do technicznego złamania MFA, lecz do przejęcia legalnie wygenerowanego artefaktu autoryzacyjnego.

Skala ryzyka zależy od uprawnień ofiary oraz konfiguracji tenantów, ale potencjalne skutki są poważne:

• dostęp do poczty elektronicznej i wykorzystanie jej do dalszego phishingu,
• odczyt, kradzież lub modyfikacja dokumentów przechowywanych w chmurze,
• nadużycie dostępu do aplikacji SaaS zintegrowanych z Microsoft 365,
• utrzymanie dostępu przy pomocy tokenów odświeżania,
• dalszy rekonesans środowiska i przygotowanie eskalacji działań.

Szczególnie narażone są organizacje, które szeroko ufają aplikacjom pierwszej strony, nie monitorują nietypowych wzorców użycia tokenów i nie prowadzą zaawansowanej analizy zachowań w warstwie tożsamości. Dodatkowym problemem jest wiarygodność kampanii, wzmacniana przez rekonesans i personalizację wiadomości.

Rekomendacje

ConsentFix v3 należy traktować jako zagrożenie z obszaru identity attack path, a nie jedynie jako kolejną odsłonę tradycyjnego phishingu. Obrona powinna obejmować zarówno warstwę techniczną, jak i działania organizacyjne.

• monitorować anomalie w przepływach OAuth, w tym nietypowe żądania kodów autoryzacyjnych i ich szybką wymianę na tokeny,
• analizować wykorzystanie aplikacji pierwszej strony Microsoft i ograniczać nadmierne wyjątki w politykach dostępu warunkowego,
• wdrażać mechanizmy wiążące token z zaufanym urządzeniem lub określonym kontekstem,
• wykrywać nietypowe logowania, nowe lokalizacje, rzadko spotykane klienty i niestandardowe wzorce dostępu do Microsoft 365,
• stosować zasadę najmniejszych uprawnień dla użytkowników oraz przeglądać dostęp do poczty, plików i aplikacji połączonych,
• szkolić użytkowników w zakresie nowych metod socjotechniki opartych na kopiowaniu, wklejaniu lub przeciąganiu danych z legalnego procesu logowania,
• kontrolować kanały dostarczania phishingu, w tym dokumenty hostowane w usługach chmurowych i silnie spersonalizowane wiadomości,
• włączać telemetrię przeglądarkową i tożsamościową do procesów wykrywania incydentów,
• opracować procedury szybkiego unieważniania sesji i tokenów odświeżania po wykryciu anomalii.

W organizacjach o podwyższonym profilu ryzyka warto również rozszerzyć scenariusze red team i purple team o nadużycia OAuth, aby sprawdzić, czy obecne mechanizmy bezpieczeństwa rzeczywiście wykrywają tego typu działania.

Podsumowanie

ConsentFix v3 pokazuje, że współczesne ataki phishingowe coraz częściej odchodzą od prostego wyłudzania poświadczeń na rzecz wykorzystywania legalnych mechanizmów uwierzytelniania i autoryzacji. Napastnik nie musi już fałszować całego procesu logowania ani łamać MFA, jeśli potrafi skłonić ofiarę do przekazania kodu OAuth wygenerowanego w prawidłowej sesji.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości musi obejmować nie tylko hasła i metody uwierzytelniania, ale również tokeny, aplikacje zaufane, zachowanie użytkownika oraz szczegółową telemetrię przepływów OAuth. W środowiskach Azure i Entra ID takie podejście staje się kluczowe dla skutecznej obrony.

Źródła

• https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/
• https://pushsecurity.com/blog/consentfix-v3-analyzing-a-new-toolkit
• https://pushsecurity.com/blog/consentfix
• https://learn.microsoft.com/en-us/entra/identity-platform/authentication-flows-app-scenarios
• https://learn.microsoft.com/en-us/entra/identity-platform/v2-protocols