Το τοπίο ασφαλείας αντιμετώπισε μια σημαντική πρόκληση λίγο πριν από το τέλος του έτους με την εμφάνιση του ConsentFix, μιας έξυπνης επίθεσης που βασίζεται στο OAuth που εκμεταλλεύεται τις νόμιμες ροές ελέγχου ταυτότητας για την εξαγωγή κωδικών εξουσιοδότησης από τα συστήματα Microsoft Entra.
Αυτή η επίθεση αντιπροσωπεύει μια εξέλιξη της τεχνικής ClickFix, δείχνοντας πώς οι επιτιθέμενοι συνεχίζουν να βελτιώνουν τις μεθόδους τους για να θέσουν σε κίνδυνο τα συστήματα ελέγχου ταυτότητας που βασίζονται σε σύννεφο χωρίς να ενεργοποιούν παραδοσιακούς ελέγχους ασφαλείας.
Το ConsentFix λειτουργεί δημιουργώντας μια κακόβουλη διεύθυνση URL σύνδεσης Microsoft Entra που στοχεύει την εφαρμογή Azure CLI και το Azure Resource Manager, κατευθύνοντας τους χρήστες σε αυτόν τον ειδικά κατασκευασμένο σύνδεσμο μέσω τακτικών phishing.
Όταν ένας ανυποψίαστος χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, ξεκινά η αλυσίδα επίθεσης. Ο εισβολέας αξιοποιεί τη ροή κώδικα εξουσιοδότησης OAuth 2.0, έναν τυπικό μηχανισμό ελέγχου ταυτότητας με τον οποίο αλληλεπιδρούν καθημερινά οι περισσότεροι χρήστες κατά τη σύνδεση σε εφαρμογές cloud.
Ο χρήστης πραγματοποιεί επιτυχή έλεγχο ταυτότητας με τα διαπιστευτήριά του και το πρόγραμμα περιήγησής του ανακατευθύνει τη διεύθυνση που θα έπρεπε να είναι μια νόμιμη διεύθυνση απάντησης.
Αντί μια λειτουργική εφαρμογή να λαμβάνει τον κωδικό ελέγχου ταυτότητας, ο χρήστης αντιμετωπίζει ένα σφάλμα επειδή καμία υπηρεσία δεν ακούει σε αυτήν τη διεύθυνση localhost.
Η κρίσιμη ευπάθεια έγκειται στο τι θα συμβεί στη συνέχεια. Η σελίδα σφάλματος εξακολουθεί να περιέχει τον ευαίσθητο κώδικα εξουσιοδότησης στη διεύθυνση URL ανακατεύθυνσης και ο εισβολέας απλώς ζητά από τον χρήστη να αντιγράψει και να επικολλήσει αυτές τις πληροφορίες μέσω της λειτουργίας μεταφοράς και απόθεσης.
.webp.jpeg "Νέα επίθεση που βασίζεται σε OAuth επιτρέπει στους χάκερ να παρακάμπτουν τις ροές ελέγχου ταυτότητας Microsoft Entra για να κλέψουν κλειδιά")
Glueck Kanja αναλυτές διάσημος ότι αυτή η τεχνική παρακάμπτει αξιοσημείωτα τις πολιτικές πρόσβασης υπό όρους και τις απαιτήσεις συμμόρφωσης συσκευών, καθιστώντας την ιδιαίτερα επικίνδυνη για οργανισμούς με κατά τα άλλα ισχυρά πλαίσια ασφαλείας.
Μηχανισμοί Ανίχνευσης και Απόκρισης
Οι ομάδες ασφαλείας πρέπει να κατανοήσουν πώς εμφανίζεται το ConsentFix στα αρχεία καταγραφής για να εντοπίσουν αποτελεσματικά αυτήν την επίθεση. Όταν συμβεί αυτή η επίθεση, τα αρχεία καταγραφής σύνδεσης Azure αποκαλύπτουν δύο διαφορετικά συμβάντα ελέγχου ταυτότητας από την ίδια περίοδο λειτουργίας.
Το πρώτο συμβάν αντιπροσωπεύει τη νόμιμη αλληλεπίδραση χρήστη, που εμφανίζεται ως διαδραστική σύνδεση από την τοποθεσία του θύματος. Το δεύτερο συμβάν, που προέρχεται από την υποδομή του εισβολέα, εμφανίζεται ως μη διαδραστική σύνδεση καθώς ο εισβολέας εξαργυρώνει τον κλεμμένο κωδικό εξουσιοδότησης για διακριτικά πρόσβασης.
Η χρονική σχέση μεταξύ αυτών των συμβάντων παρέχει το πιο αξιόπιστο σήμα ανίχνευσης. Οι κωδικοί εξουσιοδότησης Azure παραμένουν έγκυροι για περίπου δέκα λεπτά, δημιουργώντας ένα σαφές παράθυρο όπου οι εισβολείς πρέπει να εξαργυρώσουν τα διακριτικά.
Συσχετίζοντας τα αντίστοιχα SessionID, ApplicationID και UserID μεταξύ των δύο συμβάντων εντός αυτού του χρονικού πλαισίου, οι υπερασπιστές μπορούν να αναγνωρίσουν τις προσπάθειες επίθεσης.
Οι αναλυτές πρέπει επίσης να σημειώσουν ότι οι διευθύνσεις IP συνήθως διαφέρουν μεταξύ συμβάντων, καθώς ο χρήστης και ο εισβολέας λειτουργούν από ξεχωριστά συστήματα.
Οι προηγμένες στρατηγικές ανίχνευσης φιλτράρουν τα νόμιμα σενάρια αυτοματισμού, όπως το GitHub Codespaces, τα οποία ολοκληρώνουν αυτόν τον χορό ελέγχου ταυτότητας σε λίγα δευτερόλεπτα, διακρίνοντας την καλοήθη δραστηριότητα από τις κακόβουλες απόπειρες κλοπής διακριτικών.
