TL;DR

1 ConsentFix v3 to zautomatyzowana technika phishingowa wymierzona w Azure i Entra ID, która nadużywa przepływu OAuth 2.0 do przejęcia kont bez konieczności kradzieży hasła czy złamania MFA. Technika krąży na forach hakerskich jako ulepszenie poprzednich wersji. 2 Atakujący używają Pipedream (darmowej platformy integracji) do automatyzacji wymiany kodu OAuth na tokeny dostępu w czasie rzeczywistym. Nie jest jasne, czy wariant v3 zyskał już popularność wśród cyberprzestępców, jednak starsze wersje są już wykorzystywane w rzeczywistych kampaniach.

W skrócie: jeśli Twoja firma używa Azure i pracownicy logują się przez Microsoft — jesteście celem. Atak nie wymaga złamania hasła ani MFA, tylko kliknięcia w spreparowany link.

Jak działa ConsentFix v3

Technika opiera się na prostej, ale skutecznej idei: zamiast atakować hasło, atakuje się zaufanie. 3 ConsentFix v3 nadużywa przepływu autoryzacyjnego OAuth 2.0 i celuje w aplikacje Microsoft pierwszej strony, które są wstępnie zaufane i wstępnie zatwierdzone (pre-consented) w środowisku Azure.

Atak przebiega w kilku etapach:

1. Rozpoznanie i przygotowanie

4 Atakujący zaczynają od weryfikacji obecności Azure w środowisku docelowym poprzez sprawdzenie identyfikatorów dzierżawy. 5 Następnie gromadzą szczegóły pracowników — imiona, role, adresy e-mail — aby wspierać personalizację. 6 Tworzą wiele kont w serwisach takich jak Outlook, Tutanota, Cloudflare, DocSend, Hunter.io i Pipedream do phishingu, hostingu, gromadzenia danych i operacji eksfiltracji.

2. Automatyzacja przez Pipedream

2 Pipedream — darmowa platforma integracji bezserwerowej — pełni centralną rolę w automatyzacji ataku. Służy trzem krytycznym funkcjom: jest punktem końcowym webhooka, który odbiera kod autoryzacyjny ofiary; silnikiem automatyzacji, który natychmiast wymienia ten kod na token odświeżający poprzez API Microsoftu; oraz centralnym kolektorem, który udostępnia przechwycone tokeny atakującemu w czasie rzeczywistym.

To jest kluczowa różnica w stosunku do starszych wersji — 7 ConsentFix v2 wymagał ręcznego przeciągania i upuszczania adresu localhost, ale v3 całkowicie to zautomatyzował.

3. Phishing i przechwycenie kodu

8 Atakujący wdrażają stronę phishingową hostowaną na Cloudflare Pages, która naśladuje interfejs Microsoft/Azure i inicjuje rzeczywisty przepływ OAuth poprzez punkt logowania firmy Microsoft. 9 Gdy ofiara wchodzi w interakcję ze stroną, jest przekierowywana na adres localhost zawierający kod autoryzacyjny OAuth, który jest nakłaniana do wklejenia lub przeciągnięcia go z powrotem na stronę phishingową.

10 Wiadomości phishingowe mogą być wysoce spersonalizowane, generowane z zebranych danych i zawierać złośliwe linki osadzone w pliku PDF hostowanym na DocSend — to zwiększa wiarygodność i obchodzi filtry spamu.

4. Dostęp do zasobów

11 Uzyskane tokeny są importowane do Specter Portal, umożliwiając atakującemu interakcję ze skompromitowanymi środowiskami Microsoft i dostęp do zasobów dozwolonych przez token — poczta, pliki i inne usługi powiązane z kontem.

Dlaczego to działa — i dlaczego MFA nie pomaga

Atak nie wymaga poznania hasła ofiary, logowanie odbywa się przez legalny punkt logowania Microsoft, a MFA nie musi zostać złamane, aby doszło do kompromitacji.

To jest kluczowe — ofiara loguje się normalnie, z właściwym hasłem i MFA. Nie ma tu brute-force’u ani phishingu hasła. Zamiast tego atakujący przejmują token dostępu — dokument, który Azure wydaje po pomyślnym zalogowaniu i umożliwia dostęp do zasobów bez ponownego wpisywania hasła.

Token jest ważny przez godziny lub dni — w zależności od konfiguracji. Atakujący mogą go używać do dostępu do poczty, OneDrive, SharePoint, Teams — wszystkiego, do czego ma dostęp ofiara.

Skala i personalizacja

1 Ataki ConsentFix v3 są skalowalne i mogą być silnie spersonalizowane — celem są przede wszystkim środowiska Azure i Entra ID.

Co zrobić w 24-48h

Dla administratorów Azure/Microsoft 365

  1. Przejrzyj dzienniki logowania — szukaj logowań z nowych lokalizacji geograficznych, nowych urządzeń i niezwykłych godzin. Zwróć uwagę na logowania, po których następuje dostęp do poczty lub plików.

  2. Sprawdź zgody aplikacji — przejdź do Azure Portal > Aplikacje dla przedsiębiorstw > Zgody użytkownika. Szukaj aplikacji, które mają dostęp do poczty, plików lub danych. Jeśli coś wygląda podejrzanie — usuń.

  3. Włącz wiązanie tokenów12 zastosuj wiązanie tokenów do zaufanych urządzeń. To uniemożliwia atakującemu używanie przechwyconego tokenu z innego urządzenia.

  4. Skonfiguruj reguły wykrywania behawioralnego12 ustaw reguły, które flagują niezwykłe działania (dostęp do poczty z nowego kraju, masowe pobieranie plików, logowanie o 3 w nocy).

  5. Zastosuj ograniczenia uwierzytelniania aplikacji12 ogranicz, które aplikacje mogą uzyskać dostęp do zasobów. Wyłącz starsze protokoły (IMAP, POP3, SMTP) jeśli nie są potrzebne.

Dla pracowników

  1. Bądź ostrożny z linkami w e-mailach — nawet jeśli wygląda na wiadomość od Microsoft, nie klikaj w linki. Zamiast tego przejdź bezpośrednio na portal.azure.com lub portal.office.com.

  2. Zwróć uwagę na URL — jeśli zostaniesz przekierowany na localhost lub dziwny adres, to czerwona flaga. Zamknij przeglądarkę.

  3. Nie wklejaj kodów z przeglądarki — jeśli strona prosi Cię o wklejenie kodu z paska adresu, to phishing. Microsoft nigdy tego nie robi.

Dla SOC/zespołów bezpieczeństwa

  1. Monitoruj Pipedream, DocSend, Hunter.io — jeśli widzisz, że pracownicy wysyłają dane do tych serwisów, to może być sygnał ataku.

  2. Szukaj kodów OAuth w logach — jeśli widzisz w logach dostępu kody autoryzacyjne (zwykle ciągi znaków zaczynające się od 0. lub M.R3_BAY), to może być ślad ConsentFix.

  3. Przejrzyj zgody aplikacji w Azure AD — szukaj aplikacji, które mają uprawnienia do poczty lub plików, ale nie są znane Twojej organizacji.

Kontekst polski

Polskie firmy korzystające z Microsoft 365 (a jest ich tysiące — od banków po MŚP) są w pełni narażone na ten atak. 1 Ataki ConsentFix v3 są skalowalne i mogą być silnie spersonalizowane — atakujący mogą łatwo dostosować kampanię do polskiego rynku, zbierając dane pracowników z LinkedIn, stron firmowych czy publicznych katalogów.

Dodatkowy problem: 13 Push Security zanotowała, że jej testowanie ConsentFix v3 opierało się na osobistych kontach Microsoft; w wyniku czego trudno jest w pełni ocenić wpływ, który zależy od uprawnień, usług i ustawień dzierżawy. To oznacza, że w środowisku korporacyjnym (gdzie pracownicy mają ograniczone uprawnienia) atak może być mniej skuteczny — ale też może być bardziej niebezpieczny, jeśli atakujący przejmą konto administratora.

Z perspektywy RODO: jeśli atakujący uzyskają dostęp do poczty pracownika, mogą uzyskać dostęp do danych osobowych klientów, dostawców, partnerów. To może spowodować obowiązek zgłoszenia incydentu do UODO.

Historia techniki

14 Pierwsza wersja ConsentFix została zaprezentowana przez Push Security w grudniu jako wariant ClickFix dla ataków phishingowych OAuth. 7 ConsentFix v2 został opracowany przez badacza Johna Hammonda jako udoskonalona wersja oryginalnej techniki Push, zastępując ręczne kopiowanie/wklejanie przeciąganiem i upuszczaniem adresu localhost. 1 ConsentFix v3 to bardziej dojrzała i zautomatyzowana wersja wcześniejszych wariantów tej techniki, łącząca socjotechnikę, wykorzystanie zaufanych aplikacji pierwszej strony Microsoft oraz automatyczną wymianę przechwyconego kodu OAuth na tokeny.

Czy to już się dzieje?

1 ConsentFix v3 to nowa technika ataku krążąca na forach hakerskich jako ulepszenie poprzedniej techniki poprzez dodanie automatyzacji i potencjału skalowania. Jednak nie jest jasne, czy wariant v3 zyskał już jakąkolwiek popularność wśród cyberprzestępców — starsze wersje są już wykorzystywane w rzeczywistych kampaniach, ale v3 może być jeszcze na etapie testowania.

To nie oznacza, że możesz się zrelaksować. Technika jest publiczna, kod jest dostępny, a Pipedream jest darmowy. Wystarczy kilka godzin, aby atakujący przystosowali ją do swoich potrzeb.

Źródła

Zobacz też

Footnotes

  1. ConsentFix v3 to nowa technika ataku krążąca na forach hakerskich, stanowiąca ulepszenie poprzedniej techniki poprzez dodanie automatyzacji i potencjału skalowania — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/ 2 3 4 5

  2. Pipedream, darmowa platforma integracji bezserwerowej, pełni centralną rolę w automatyzacji ataku, służąc trzem krytycznym funkcjom: jest punktem końcowym webhooka, silnikiem automatyzacji i centralnym kolektorem tokenów — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/ 2

  3. ConsentFix v3 zachowuje główną ideę nadużywania przepływu autoryzacyjnego OAuth2 i kierowania się na aplikacje Microsoft pierwszej strony, które są wstępnie zaufane i wstępnie wyrażone — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  4. Atak ConsentFix v3 rozpoczyna się od weryfikacji obecności Azure w środowisku docelowym poprzez sprawdzenie prawidłowych identyfikatorów dzierżawy — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  5. Atakujący gromadzą szczegóły pracowników takie jak imiona, role i adresy e-mail w celu wspierania personifikacji — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  6. Atakujący tworzą wiele kont w serwisach takich jak Outlook, Tutanota, Cloudflare, DocSend, Hunter.io i Pipedream w celu wspierania phishingu, hostingu, gromadzenia danych i operacji eksfiltracji — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  7. ConsentFix v2 został opracowany przez badacza Johna Hammonda jako udoskonalona wersja oryginalnej techniki Push, zastępując ręczne kopiowanie/wklejanie przeciąganiem i upuszczaniem adresu localhost — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/ 2

  8. Atakujący wdrażają stronę phishingową hostowaną na Cloudflare Pages, która naśladuje interfejs Microsoft/Azure i inicjuje rzeczywisty przepływ OAuth poprzez punkt logowania Microsoft — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  9. Gdy ofiara wchodzi w interakcję ze stroną, jest przekierowywana na adres localhost zawierający kod autoryzacyjny OAuth, który jest nakłaniany do wklejenia lub przeciągnięcia z powrotem na stronę phishingową — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  10. Wiadomości phishingowe mogą być wysoce spersonalizowane, generowane z zebranych danych i zawierać złośliwe linki osadzone w pliku PDF hostowanym na DocSend w celu poprawy wiarygodności i obejścia filtrów spamu — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  11. Uzyskane tokeny są importowane do Specter Portal, umożliwiając atakującemu interakcję ze skompromitowanymi środowiskami Microsoft i dostęp do zasobów dozwolonych przez token, takich jak poczta, pliki i inne usługi powiązane z kontem — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  12. Środkami łagodzącymi ryzyko ConsentFix są: zastosowanie wiązania tokenów do zaufanych urządzeń, skonfigurowanie reguł wykrywania behawioralnego i zastosowanie ograniczeń uwierzytelniania aplikacji — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/ 2 3

  13. Push Security zanotowała, że jej testowanie ConsentFix v3 opierało się na osobistych kontach Microsoft, w wyniku czego trudno jest w pełni ocenić wpływ, który zależy od uprawnień, usług i ustawień dzierżawy — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

  14. Pierwsza wersja ConsentFix została zaprezentowana przez Push Security w grudniu jako wariant ClickFix dla ataków phishingowych OAuth — https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/