Een nieuwe aanvalsmethode, genaamd ConsentFix v3, circuleert op hackerforums en automatiseert aanvallen op Microsoft Azure via misbruik van OAuth. De eerste versie van ConsentFix werd vorig jaar december door Push Security gepresenteerd als een variant van ClickFix, waarbij slachtoffers werden misleid om een legitieme Microsoft-login via de Azure CLI te doorlopen. Hierbij werden slachtoffers via social engineering verleid om een localhost-URL met een OAuth-autorisatiecode te plakken, waarmee aanvallers zonder wachtwoorden en ondanks multi-factor authenticatie (MFA) toegang konden krijgen tot accounts.

ConsentFix v2, ontwikkeld door onderzoeker John Hammond, verbeterde dit proces door handmatig kopiëren en plakken te vervangen door drag-and-drop van de localhost-URL, wat de phishingstroom vloeiender en overtuigender maakte. ConsentFix v3 behoudt het principe van misbruik van de OAuth2-autorisatiecodeflow en richt zich op eerstepartij Microsoft-apps die vooraf vertrouwd en geconsenteerd zijn. De nieuwste versie voegt echter automatisering en schaalbaarheid toe.

Volgens informatie van hackerforums waar deze techniek wordt gepromoot, start de aanval met het controleren op Azure in de doelomgeving door geldige tenant-ID's te verifiëren. Vervolgens verzamelen de aanvallers gegevens van medewerkers, zoals namen, functies en e-mailadressen, om zich te kunnen voordoen als legitieme gebruikers. Daarna creëren zij meerdere accounts bij diensten als Outlook, Tutanota, Cloudflare, DocSend, Hunter.io en Pipedream om phishing, hosting, dataverzameling en exfiltratie te ondersteunen.

Push Security licht toe dat Pipedream, een gratis serverless integratieplatform, een centrale rol speelt in de automatisering van de aanval. Het fungeert als webhook-endpoint dat de autorisatiecode van het slachtoffer ontvangt, als automatiseringsmotor die deze code direct via de Microsoft API in een refresh token omzet, en als centrale verzamelaar die de verkregen tokens realtime beschikbaar maakt.

In de volgende fase zetten de aanvallers een phishingpagina op, gehost op Cloudflare Pages, die een legitieme Microsoft/Azure-interface nabootst en een echte OAuth-login via Microsoft start. Wanneer het slachtoffer met de pagina interacteert, wordt deze doorgestuurd naar een localhost-URL met een OAuth-autorisatiecode, die het slachtoffer wordt misleid om te plakken of te slepen in de phishingpagina. Dit activeert de datalekpijplijn waarbij de pagina de URL naar een Pipedream-webhook stuurt en de backend de autorisatiecode onmiddellijk in tokens omzet.

De phishingmails zijn vaak sterk gepersonaliseerd, gegenereerd met verzamelde data, en bevatten kwaadaardige links in een PDF die gehost wordt op DocSend om geloofwaardigheid te verhogen en spamfilters te omzeilen. In de post-exploitatiefase importeren aanvallers de verkregen tokens in Specter Portal, waarmee ze toegang krijgen tot de gecompromitteerde Microsoft-omgevingen en resources zoals e-mail en bestanden die aan het account gekoppeld zijn.

Push Security benadrukt dat hun testen met ConsentFix v3 plaatsvonden op persoonlijke Microsoft-accounts, waardoor de impact afhankelijk is van rechten, services en tenant-instellingen. Het mitigeren van de risico’s van ConsentFix is complex omdat het vertrouwen in eerstepartij-apps architectonisch is ingebouwd. De Family of Client IDs (FOCI), Microsoft-applicaties die permissies en refresh tokens delen, kunnen hierbij behulpzaam zijn. Beheerders kunnen daarnaast maatregelen nemen zoals token binding op vertrouwde apparaten, gedragsdetectieregels instellen en applicatiebeperkingen toepassen.