Η νέα επίθεση ConsentFix επιτρέπει στους εισβολείς να κλέβουν λογαριασμούς Microsoft αξιοποιώντας το Azure CLI

Μια εξελιγμένη νέα τεχνική επίθεσης ηλεκτρονικού “ψαρέματος” που ονομάζεται “ConsentFix” που συνδυάζει το ηλεκτρονικό ψάρεμα συναίνεσης του OAuth με προτροπές τύπου ClickFix για παραβίαση λογαριασμών Microsoft χωρίς να απαιτούνται κωδικοί πρόσβασης ή έλεγχος ταυτότητας πολλαπλών παραγόντων.

Η επίθεση αξιοποιεί την εφαρμογή Azure CLI για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς θυμάτων.

Η επίθεση ConsentFix λειτουργεί εξ ολοκλήρου στο πλαίσιο του προγράμματος περιήγησης, καθιστώντας δύσκολο τον εντοπισμό των παραδοσιακών εργαλείων ασφαλείας.

Τα θύματα κατευθύνονται σε κακόβουλους ή παραβιασμένους ιστότοπους μέσω των αποτελεσμάτων της Αναζήτησης Google.

Αυτοί οι ιστότοποι περιέχουν μια ψεύτικη επαλήθευση του Cloudflare Turnstile που συλλέγει διευθύνσεις email και φίλτρα για στοχευμένους οργανισμούς.

Μόλις εισαχθεί ένα κατάλληλο email, ζητείται από τα θύματα να κάνουν κλικ σε ένα κουμπί “Είσοδος” που ανοίγει μια νόμιμη σελίδα σύνδεσης της Microsoft σε μια νέα καρτέλα.

Εάν οι χρήστες είναι ήδη συνδεδεμένοι στον λογαριασμό τους Microsoft, επιλέγουν τον λογαριασμό τους από ένα αναπτυσσόμενο μενού.

Στη συνέχεια, το πρόγραμμα περιήγησης ανακατευθύνεται σε μια διεύθυνση URL τοπικού κεντρικού υπολογιστή που περιέχει έναν κωδικό εξουσιοδότησης OAuth που σχετίζεται με τον λογαριασμό Microsoft του θύματος.

Το θύμα λαμβάνει οδηγίες να αντιγράψει αυτό το URL τοπικού κεντρικού υπολογιστή και να το επικολλήσει ξανά στη σελίδα ηλεκτρονικού ψαρέματος.

Αυτή η απλή ενέργεια αντιγραφής-επικόλλησης παρέχει στον εισβολέα πλήρη πρόσβαση στον λογαριασμό Microsoft του θύματος μέσω του Azure CLI.

Αποτελεσματική παράκαμψη όλων των μέτρων ασφαλείας που βασίζονται σε κωδικό πρόσβασης και του ελέγχου ταυτότητας ανθεκτικό στο ηλεκτρονικό ψάρεμα, όπως οι κωδικοί πρόσβασης.

Γιατί το Azure CLI είναι ευάλωτο

Το Azure CLI είναι μια εφαρμογή της Microsoft πρώτου κατασκευαστή που εμμέσως εμπιστεύεται το Entra ID και εξαιρείται από τις τυπικές απαιτήσεις συναίνεσης του OAuth.

Σε αντίθεση με τις εφαρμογές τρίτων, το Azure CLI μπορεί να ζητήσει άδειες χωρίς έγκριση διαχειριστή και δεν μπορεί να αποκλειστεί ή να διαγραφεί.

Αυτό το καθιστά ιδανικό στόχο για εκμετάλλευση. Η καμπάνια χρησιμοποιεί εξελιγμένες μεθόδους αποφυγής εντοπισμού, συμπεριλαμβανομένης της στόχευσης υπό όρους βάσει ηλεκτρονικού ταχυδρομείου.

Συγχρονισμένος αποκλεισμός IP σε πολλούς παραβιασμένους ιστότοπους και επιλεκτική φόρτωση JavaScript με βάση τις διευθύνσεις IP επισκεπτών.

Αυτές οι τεχνικές αποτρέπουν την ανάλυση ασφαλείας, καθιστώντας την επίθεση σχεδόν αδύνατο να εντοπιστεί αποκλειστικά μέσω ελέγχων που βασίζονται σε URL.

PushSecurity παροτρύνει τους οργανισμούς να παρακολουθούν συμβάντα σύνδεσης του Microsoft Azure CLI, τα οποία συνήθως θα πρέπει να περιορίζονται σε διαχειριστές συστήματος και προγραμματιστές. Οποιεσδήποτε ασυνήθιστες διαδραστικές συνδέσεις Azure CLI θα πρέπει να διερευνηθούν.

Οι ομάδες ασφαλείας θα πρέπει επίσης να ενεργοποιούν και να παρακολουθούν το AADGraphActivityLogs για να ανιχνεύουν ύποπτη δραστηριότητα απαρίθμησης AD Azure και να παρακολουθούν για μη αλληλεπιδραστικές συνδέσεις από απροσδόκητες γεωγραφικές τοποθεσίες.