Um novo tipo de ataque, batizado de ConsentFix v3, vem circulando em fóruns de hackers como uma técnica aprimorada para automatizar ataques contra o Microsoft Azure.
A primeira versão do ConsentFix foi apresentada pela Push Security em dezembro do ano passado como uma variação do ClickFix para ataques de phishing por OAuth.
A técnica enganava as vítimas para que concluíssem um fluxo legítimo de login da Microsoft por meio da Azure CLI.
Com engenharia social, o atacante induzia a vítima a colar uma URL local que continha um código de autorização OAuth.
Esse código podia ser usado para obter tokens e sequestrar a conta sem a senha, mesmo com autenticação multifator (MFA) ativada.
O ConsentFix v2 foi desenvolvido pelo pesquisador John Hammond como uma versão refinada da proposta original da Push.
Ele substituiu o copiar e colar manual por um arrastar e soltar da URL local, tornando o fluxo de phishing mais fluido e convincente.
O ConsentFix v3 mantém a ideia central de abusar do fluxo de código de autorização do OAuth2 e de mirar aplicativos próprios da Microsoft que já estão previamente confiáveis e autorizados.
A diferença é que agora ele traz uma melhoria importante ao incorporar automação e escalabilidade.
Segundo informações divulgadas em fóruns de hackers onde a nova técnica é apresentada, o ataque começa com a verificação da presença do Azure no ambiente da vítima, por meio da checagem de IDs de locatário válidos.
Em seguida, os atacantes coletam dados de funcionários, como nomes, cargos e endereços de e-mail, para facilitar a falsificação de identidade.
Na próxima etapa, os criminosos criam múltiplas contas em serviços como Outlook, Tutanota, Cloudflare, DocSend, Hunter.io e Pipedream para dar suporte às operações de phishing, hospedagem, coleta de dados e exfiltração.
Pesquisadores da Push Security explicam que o Pipedream, uma plataforma de integração sem servidor de uso gratuito, desempenha um papel central na automação do ataque e cumpre três funções críticas.
Ele atua como o endpoint de webhook que recebe o código de autorização da vítima.
Também funciona como o mecanismo de automação que troca imediatamente esse código por um token de atualização por meio da API da Microsoft.
Além disso, serve como coletor central, disponibilizando em tempo real os tokens capturados.
Na fase seguinte, o atacante publica uma página de phishing hospedada no Cloudflare Pages, que imita uma interface legítima da Microsoft ou do Azure e inicia um fluxo real de OAuth por meio do endpoint de login da Microsoft.
Quando a vítima interage com a página, ela é redirecionada para uma URL local contendo um código de autorização OAuth, sendo então enganada a colar ou arrastar esse conteúdo de volta para a página falsa.
Isso permite a etapa de exfiltração de dados, na qual a página envia a URL capturada para um webhook do Pipedream, e a automação no backend troca imediatamente o código de autorização por tokens.
Os e-mails de phishing podem ser altamente personalizados, gerados a partir dos dados coletados, e conter links maliciosos incorporados em um PDF hospedado no DocSend, o que aumenta a credibilidade e ajuda a contornar filtros de spam.
Na fase pós-exploração, os tokens obtidos são importados para o Specter Portal, permitindo que o atacante interaja com ambientes Microsoft comprometidos e acesse recursos autorizados pelo token, como e-mail, arquivos e outros serviços vinculados à conta.
A Push Security observou que seus testes do ConsentFix v3 foram realizados com contas pessoais da Microsoft.
Por isso, é difícil medir plenamente o impacto da técnica, que depende de permissões, serviços e configurações do locatário, entre outros fatores.
Em relação à mitigação dos riscos do ConsentFix, a Push afirma que a tarefa é complexa porque a confiança em aplicativos próprios faz parte da arquitetura.
A empresa também destaca que o Family of Client IDs (FOCI), conjunto de aplicativos da Microsoft que compartilham permissões e tokens de atualização, é útil em outros contextos.
Ainda assim, administradores podem adotar medidas como aplicar vinculação de token a dispositivos confiáveis, configurar regras de detecção comportamental e impor restrições de autenticação de aplicativos.
Embora ataques do ConsentFix já sejam usados em campanhas reais, ainda não está claro se a variante v3 ganhou tração entre criminosos cibernéticos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...