Uma nova variação do ataque ClickFix, chamada “ConsentFix”, explora o aplicativo OAuth do Azure CLI para sequestrar contas Microsoft sem a necessidade de senha ou de burlar a autenticação multifator (MFA).
O ClickFix é uma técnica de engenharia social que induz os usuários a executar comandos no computador, com o objetivo de instalar malware ou roubar dados.
Essa abordagem geralmente utiliza falsas instruções que supostamente corrigem erros ou confirmam que a pessoa é humana, e não um bot.
A variante ConsentFix, descoberta pela empresa de cibersegurança Push Security, funciona roubando códigos de autorização OAuth 2.0, que são trocados por tokens de acesso do Azure CLI.
O Azure CLI é uma ferramenta de linha de comando da Microsoft que autentica usuários via OAuth para gerenciar recursos do Azure e do Microsoft 365 localmente.
Nesta campanha, os atacantes convencem as vítimas a completarem o fluxo OAuth do Azure CLI e capturam o código de autorização gerado, obtendo acesso total à conta sem precisar da senha ou de burlar a MFA.
O ataque começa quando a vítima acessa um site legítimo comprometido, que está bem posicionado no Google para termos específicos.
Nessa página, um widget falso do Cloudflare Turnstile solicita um e-mail corporativo válido.
Um script malicioso verifica esse endereço contra uma lista de alvos, filtrando bots, pesquisadores ou pessoas fora do escopo.
Quem passa na filtragem recebe uma página parecida com a interação do ClickFix, contendo instruções para comprovar que é humano.
O usuário deve clicar no botão “Sign in”, que abre uma URL legítima da Microsoft em uma nova aba.
No entanto, essa não é uma página comum de login Microsoft, mas sim uma página de autenticação do Azure que gera um código OAuth do Azure CLI.
Se o usuário já estiver logado, basta escolher a conta; caso contrário, realiza o login normalmente na página oficial da Microsoft.
Após isso, a Microsoft redireciona o navegador para uma página localhost, e a barra de endereço exibe uma URL com um código de autorização OAuth do Azure CLI vinculado à conta do usuário.
O processo de phishing é concluído quando a vítima cola essa URL na página maliciosa, conforme as instruções exibidas, entregando ao atacante acesso à conta Microsoft via aplicativo Azure CLI OAuth.
Segundo a Push Security, “quando as etapas são concluídas, o invasor tem controle efetivo da conta Microsoft da vítima via Azure CLI, sem precisar capturar senha ou contornar MFA”.
Na prática, se o usuário estiver com a conta ativa, nem precisa fazer login novamente.
O ataque é disparado uma única vez por IP da vítima, evitando que alvos legítimos sejam atacados repetidamente no mesmo site falso.
Os especialistas recomendam que equipes de defesa fiquem atentas a acessos incomuns via Azure CLI, como logins de IPs inéditos, e monitorem o uso de escopos legados do Microsoft Graph, que os invasores utilizam para dificultar a detecção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...