ConsentFix v3 攻击针对 Azure 的自动化 OAuth 滥用

Source: Bleeping Computer

概述

一种名为 ConsentFix v3 的新攻击类型已在黑客论坛上流传，作为一种可自动化针对 Microsoft Azure 的改进技术。

ConsentFix 的第一个版本在去年十二月由 Push Security 公开，作为 ClickFix 的一种变体，用于 OAuth 钓鱼攻击。该攻击诱使受害者通过 Azure CLI 完成合法的 Microsoft 登录流程。攻击者利用社会工程学，让受害者粘贴包含 OAuth 授权码的本地主机 URL，进而获取令牌并在无需密码的情况下劫持账户，即使启用了多因素认证（MFA）也不例外。

ConsentFix v2 由研究员 John Hammond 开发，是对 Push 原始版本的精炼版，用拖拽本地主机 URL 取代手动复制/粘贴，使钓鱼流程更流畅、更具说服力。

ConsentFix v3 保持了滥用 OAuth2 授权码流程并针对预先受信任且已预先授权的 Microsoft 一方应用的核心思路，但加入了自动化和可扩展性。

Source:

ConsentFix v3 攻击流程

根据在黑客论坛上获取的宣传新技术的信息，攻击首先通过检查有效的租户 ID 来验证目标环境中是否存在 Azure。随后收集员工的姓名、职务和电子邮件地址等信息，以支持冒充行为。

接下来，攻击者在 Outlook、Tutanota、Cloudflare、DocSend、Hunter.io 和 Pipedream 等服务上创建多个账户，用于支持钓鱼、托管、数据收集和数据外泄操作。

Push Security 研究人员解释说，Pipedream——一个免费使用的无服务器集成平台——在自动化攻击中发挥核心作用，承担以下三项关键职责：

• 它是接收受害者授权码的 webhook 端点。
• 它是自动化引擎，能够立即通过 Microsoft 的 API 将该授权码兑换为刷新令牌。
• 它是中心收集器，将捕获的令牌实时提供给攻击者。

创建 Pipedream 模型 – Source: Push Security

在下一阶段，攻击者部署一个托管在 Cloudflare Pages 上的钓鱼页面，该页面模拟合法的 Microsoft/Azure 界面，并通过 Microsoft 的登录端点启动真实的 OAuth 流程。当受害者与页面交互时，会被重定向到包含 OAuth 授权码的本地主机 URL，受害者被诱导将其粘贴或拖拽回钓鱼页面。此时数据外泄管道启动：页面将捕获的 URL 发送到 Pipedream webhook，后端自动化立即将授权码兑换为令牌。

钓鱼邮件可以高度个性化，基于收集到的数据生成，并在托管于 DocSend 的 PDF 中嵌入恶意链接，以提升可信度并绕过垃圾邮件过滤。

生成个性化钓鱼邮件 – Source: Push Security

在后渗透阶段，获取的令牌被导入 Specter Portal，使攻击者能够与被侵入的 Microsoft 环境交互，并访问令牌所允许的资源，如电子邮件、文件以及与该账户关联的其他服务。

Push Security 指出，其对 ConsentFix v3 的测试使用了个人 Microsoft 账户；因此，实际影响取决于权限、服务和租户设置。

缓解措施

缓解 ConsentFix 风险具有挑战性，因为对第一方应用的信任是架构性的。Family of Client IDs (FOCI) 研究表明，Microsoft 应用共享权限和刷新令牌，攻击者可以利用这些。管理员仍然可以通过以下方式降低暴露风险：

• 对受信任设备应用令牌绑定。
• 为异常令牌使用设置行为检测规则。
• 强制应用身份验证限制（例如，限制哪些客户端 ID 可以访问敏感资源）。

虽然 ConsentFix 攻击已在实际活动中使用，但尚不清楚 v3 变体是否已在网络犯罪分子中获得显著的关注。