От социално инженерство към автоматизирани компрометирания
Нова техника за атака, известна като ConsentFix v3, се разпространява в хакерски форуми като усъвършенстван метод за компрометиране на среди в Microsoft Azure. Тя представлява еволюция на вече познатите ClickFix и ConsentFix подходи, но с ключово подобрение – автоматизация и мащабируемост.
Първоначалната версия на атаката е представена от Push Security и използва OAuth фишинг, за да подведе жертвите да извършат легитимен вход през Azure CLI. Въпреки наличието на многофакторна автентикация (MFA), атаката успява да заобиколи защитите чрез злоупотреба с OAuth authorization code flow.
Как се развива техниката – от v1 до v3
Еволюцията на ConsentFix показва ясно как атакуващите оптимизират потребителското преживяване – но в своя полза:
- v1 – разчита на copy-paste на localhost URL с authorization код
- v2 – разработена от Джон Хамънд, заменя copy-paste с drag-and-drop за по-убедителна измама
- v3 – добавя пълна автоматизация, елиминирайки нуждата от ръчни действия след първоначалната манипулация
Как работи ConsentFix v3 на практика
Атаката следва добре структуриран и индустриализиран процес:
1. Разузнаване и подготовка
Атакуващите проверяват дали организацията използва Azure, идентифицират tenant ID и събират информация за служители – имена, роли, имейли.
2. Изграждане на инфраструктура
Създават се акаунти в различни услуги за подпомагане на атаката:
- Outlook
- Tutanota
- Cloudflare
- DocSend
- Hunter.io
- Pipedream
Особено ключова роля играе Pipedream, който функционира като:
- Webhook за получаване на OAuth кода
- Автоматичен механизъм за обмен на код срещу токен
- Централизиран колектор на компрометираните токени в реално време
3. Фишинг и експлоатация
Атакуващите създават фалшива страница (често хоствана през Cloudflare), която имитира Microsoft/Azure интерфейс и стартира реален OAuth процес.
Жертвата:
- се пренасочва към localhost URL с authorization код
- бива подведена да го копира или „върне“ към фишинг страницата
Така се активира автоматизирана верига за екстракция на токени.
4. Пост-експлоатация
Получените токени се използват чрез инструменти като Specter Portal, позволяващи достъп до:
- Имейли
- Файлове
- Облачни услуги
- Други ресурси, достъпни според правата на компрометирания акаунт
Защо тази атака е особено опасна
ConsentFix v3 подчертава няколко критични проблема:
Злоупотреба с доверени приложения
Атаката използва т.нар. first-party Microsoft приложения, които вече имат предварително дадени права.
Заобикаляне на MFA
Тъй като не се крадат пароли, а се използват валидни OAuth токени, традиционните защити не се задействат.
Автоматизация = мащаб
Интеграцията с платформи като Pipedream позволява масови атаки с минимални усилия.
Какво могат да направят организациите
Ограничаването на подобни атаки е сложно, но възможно чрез комбинация от мерки:
- Token binding към доверени устройства
- Поведенчески анализ за откриване на аномалии
- Ограничения върху автентикацията на приложения
- Повишено внимание към OAuth заявки и consent екрани
Важно е да се отбележи, че архитектурни решения като FOCI (Family of Client IDs), макар и полезни, също могат да бъдат използвани в подобни атаки.
Заключение – новото лице на фишинга
ConsentFix v3 показва ясно накъде се развиват съвременните кибератаки – по-малко хакване, повече манипулация и автоматизация.
С нарастващото използване на облачни услуги и OAuth базирана автентикация, организациите трябва да преосмислят защитните си модели. В противен случай дори „легитимни“ процеси могат да се превърнат в най-слабата точка в сигурността.
