Evoluția autentificării online a trecut de la parole scrise pe hârtie la mecanisme avansate precum OAuth, însă niciun sistem nu e ferit de ingeniozitatea socială a atacatorilor. Cercetătorii Push Security au raportat o variantă nouă a atacului ClickFix, denumită ConsentFix, care abuzează aplicația Azure CLI pentru a prelua conturi Microsoft fără a solicita parola sau a ocoli MFA, exploatând pagini web compromise și fluxuri OAuth legitime.
ClickFix este o tehnică de social engineering prin care victimele sunt păcălite să execute comenzi sau să urmeze instrucțiuni ce par utile pentru a rezolva o eroare sau a demonstra că nu sunt roboți. ConsentFix duce această schemă mai departe: atacatorii compromit site-uri legitime bine optimizate pentru SEO ca să apară sus în rezultatele Google pentru anumite căutări și afișează vizitatorilor un widget fals de tip Cloudflare Turnstile care solicită o adresă de e‑mail de business. Scriptul atacatorilor verifică acel e‑mail într‑o listă de ținte, filtrând astfel analiști, boți sau alte persoane neinteresante.
Cei care trec acest filtru sunt redirecționați către o pagină construită să semene cu pattern‑urile ClickFix, cu instrucțiuni menite să confirme că sunt umani. Instrucțiunile cer victimei să apese butonul de sign in, iar clickul deschide într‑o filă nouă un URL Microsoft autentic. Important: nu e o pagină falsă de login Microsoft, ci fluxul Azure CLI OAuth folosit legitim pentru a genera un cod de autorizare. Dacă utilizatorul are deja o sesiune activă la Microsoft, i se cere doar să selecteze contul; altfel se autentifică normal pe pagina Microsoft.
După autentificare, Microsoft redirecționează browserul către o adresă localhost; în bara de adrese apare un URL care conține codul de autorizare Azure CLI asociat contului utilizatorului. Victima este apoi îndemnată să lipească acel URL în pagina malițioasă, conform instrucțiunilor. În final, atacatorii schimbă codul pentru un token de acces și obțin control asupra contului prin Azure CLI, fără parolă și fără a necesita MFA. Push Security subliniază că, dacă exista deja o sesiune activă, nici măcar un pas de autentificare nu mai e necesar.
Detalii tehnice relevante: atacul exploatează scope‑uri vechi legate de Graph, pe care atacatorii le folosesc intenționat pentru a reduce detectabilitatea. De asemenea, scriptul este proiectat să declanșeze verificarea Turnstile o singură dată per adresă IP a victimei, astfel încât țintele reale care revin pe aceeași pagină nu vor mai întâlni același filtru. Cercetătorii recomandă echipelor de apărare să monitorizeze activitatea neobișnuită a Azure CLI, cum ar fi autentificările din IP‑uri noi, și să urmărească utilizarea scope‑urilor legacy Graph care ar putea indica o astfel de ofensivă.
Pe scurt: Azure CLI este un instrument Microsoft pentru gestionarea resurselor Azure și Microsoft 365 din linia de comandă, iar OAuth este mecanismul care permite aplicațiilor să ceară acces în numele utilizatorului fără a-i solicita parola. ConsentFix profită de încrederea utilizatorilor în fluxurile legitime și de obiceiul multora de a avea sesiuni active, transformând un proces normal de autentificare într‑o facilitate pentru acces neautorizat. Măsuri preventive includ limitarea privilegiilor aplicațiilor, auditarea acceselor prin Azure CLI și educarea utilizatorilor să nu copieze URL‑uri din bara de adrese în pagini care cer astfel de pași.
ConsentFix scoate în evidență vulnerabilități ale fluxurilor de consimțământ OAuth și ale modelelor vechi de permisiuni, în special în ecosistemul Azure și Microsoft 365. Fără schimbări de configurare, monitorizare și practici de securitate, astfel de ofensive pot rămâne eficiente. Ce măsuri crezi că ar trebui să adopte organizațiile pentru a se proteja mai bine?
Fii primul care comentează