ConsentFix v3 превращает OAuth-фишинг в конвейер: атаки на Azure можно автоматизировать почти без кражи паролей

В криминальных сообществах продвигают новый набор для атак ConsentFix v3 — инструмент для автоматизации OAuth-фишинга против пользователей Microsoft Azure и Microsoft Entra ID. Его цель — получить не пароль, а код авторизации OAuth, обменять его на токены и зайти в корпоративные сервисы от имени жертвы. Такой сценарий опасен тем, что вход проходит через настоящие страницы Microsoft, а многофакторная аутентификация может уже считаться пройденной.

Первую версию ConsentFix представила ​​компания Push Security в декабре прошлого года как вариант ClickFix для фишинговых атак OAuth, который обманом заставляет жертв пройти легитимный процесс входа в систему Microsoft через Azure CLI.

В обычных ClickFix-атаках пользователя убеждают скопировать и выполнить команду под видом «исправления ошибки» или проверки. В ConsentFix логика другая: жертву ведут через легитимный OAuth-процесс Microsoft, после чего просят вставить или перетащить ссылку localhost с кодом авторизации обратно на фишинговую страницу. Этот код атакующий сразу меняет на токены доступа.

ConsentFix v2 разработал исследователь Джон Хаммонд как усовершенствованную версию оригинального решения Push, заменяющую ручное копирование/вставку перетаскиванием URL-адреса localhost, что делает фишинговый процесс более убедительным.

ConsentFix v3 сохраняет основную идею злоупотребления потоком авторизационного кода OAuth2 и нацелен на собственные приложения Microsoft, которые уже получили предварительное доверие и согласие.

Главное отличие версии v3 — автоматизация. Исследователи Push Security описали набор, который помогает подготовить инфраструктуру, собрать данные о сотрудниках, создать правдоподобные фишинговые письма, а затем запускать страницы и автоматически обменивать украденный OAuth-код на refresh token. В цепочке упоминаются Cloudflare Workers/Pages для хостинга, ZoomInfo и Hunter.io для сбора данных, Dropbox или DocSend для размещения PDF, Pipedream как вебхук и канал автоматизации.

OAuth — это механизм выдачи приложению ограниченного доступа без передачи пароля. В нормальной жизни он нужен, когда сервису разрешают читать календарь, почту или файлы. В атаке ConsentFix злоумышленник не ломает пароль напрямую, а заставляет пользователя отдать материал, который можно превратить в токены. Refresh token особенно ценен: он позволяет получать новые токены доступа без повторного входа, пока его не отзовут или не сработают ограничения.

Отдельная проблема — доверие к приложениям Microsoft. ConsentFix нацелен на first-party-приложения, то есть приложения самого Microsoft, которые часто уже доверены в среде Entra ID. Push Security отдельно указывает на FOCI — Family of Client IDs. Это семейство клиентских идентификаторов Microsoft-приложений, где refresh token, полученный для одного приложения, может использоваться для получения токенов к другим приложениям без повторной авторизации. На практике это может открыть путь к Outlook, Teams, OneDrive и SharePoint через API, если права пользователя и настройки клиента это позволяют.

Фишинг выглядит убедительно для пользователя. Страница может вести на настоящий домен Microsoft, а человек с уже открытой сессией Microsoft просто выбирает свой аккаунт в списке. Пароль вводить не нужно. Проверка по MFA тоже может не появиться, потому что с точки зрения системы пользователь уже прошёл вход в браузере.

Microsoft давно описывает фишинг согласия как отдельный класс угроз. Компания рекомендует администраторам регулярно проверять приложения и выданные им разрешения, ограничивать пользовательское согласие только доверенными приложениями и разрешениями низкого риска, отслеживать подозрительное поведение OAuth-приложений через Microsoft Defender for Cloud Apps и журналы Entra ID.

ConsentFix v3 пока не подтверждён как массовая кампания. Доступные данные говорят о продвижении инструмента и о реальных атаках ConsentFix, но распространение именно версии v3 среди киберпреступников остаётся неясным.