Pembahasan ConsentFix: Wawasan dari serangan phishing OAuth yang baru

Pada bulan Desember, tim peneliti Push Security menemukan dan memblokir teknik serangan baru yang kami ciptakan Perbaikan Persetujuan. Teknik ini menggabungkan rekayasa sosial gaya ClickFix dengan phishing izin OAuth untuk membajak akun Microsoft.

Kami melihat serangan ini terjadi di jaringan besar situs web yang telah disusupi, tempat penyerang menyuntikkan muatan berbahaya, sehingga membentuk kampanye berskala besar yang terdeteksi di beberapa wilayah pelanggan.

ConsentFix mendapat respon yang luar biasa dari komunitas dalam waktu yang sangat singkat.

Dalam beberapa hari, John Hammond membagikan versi teknik yang baru dan lebih baik yang dia lakukan di laboratoriumnya sendiri, sementara peneliti keamanan dari Microsoft, Glueck KanjaDan kontributor individu lainnya semua analisis dan rekomendasi bersama.

Di blog ini, kami berbagi beberapa wawasan baru tentang kampanye ini, mengumpulkan beberapa rekomendasi dan sumber daya terbaik yang dibagikan di seluruh komunitas, dan menantikan masa depan untuk teknik baru ini karena teknik baru ini akan segera memasuki arus utama.

Namun pertama-tama, mari kita rekap dengan cepat apa itu ConsentFix dan cara kerjanya.

Perbaikan Persetujuan 101

ConsentFix adalah teknik serangan yang meminta korban untuk membagikan kode otorisasi OAuth dengan penyerang melalui halaman phishing. Penyerang kemudian memasukkan kode ini ke aplikasi target di perangkat mereka sendiri untuk menyelesaikan jabat tangan otorisasi dan mengambil alih akun.

Dengan membajak OAuth, penyerang dapat secara efektif melewati kontrol lapisan identitas seperti kata sandi dan MFA — bahkan metode autentikasi yang tahan terhadap phishing seperti kunci sandi tidak berdampak pada serangan ini, karena metode ini sama sekali mengabaikan proses autentikasi.

Serangan penyalahgunaan OAuth bukanlah hal baru. Teknik seperti menyetujui phishing Dan phishing kode perangkat telah ada selama beberapa waktu.

Namun, fokus utamanya adalah menghubungkan akun ruang kerja utama Anda (misalnya Microsoft, Google, dll.) ke aplikasi palsu yang dikendalikan penyerang. Namun hal ini menjadi semakin sulit di lingkungan cloud perusahaan inti seperti Azure konfigurasi default yang lebih ketat. Meskipun demikian, phishing kode perangkat masih menonjol akhir-akhir ini serangan Salesforce tingkat tinggi pada tahun 2025.

Apa yang membuat ConsentFix begitu berbahaya?

Tidak seperti serangan OAuth pada umumnya, pendekatan ConsentFix yang baru memungkinkan penyerang menargetkan berbagai jenis aplikasi sesuai dengan tujuan biasanya — dengan implikasi besar pada deteksi dan respons. Dalam hal ini, penyerang:

• Aplikasi Microsoft pihak pertama yang ditargetkan secara khusus dan tidak dapat dibatasi dengan cara yang sama seperti aplikasi pihak ketiga, dan telah mendapat persetujuan sebelumnya di setiap penyewa (artinya pengguna dapat mengautentikasi ke aplikasi tersebut tanpa persetujuan admin).

• Memanfaatkan cakupan warisan yang berada di luar cakupan pencatatan log default untuk menghindari deteksi, dan cakupan yang ditargetkan dengan pengecualian kebijakan Akses Bersyarat yang diketahui.

Ini berarti bahwa kontrol default yang Anda harapkan untuk memblokir pemberian OAuth berbahaya tidak berlaku, Anda mungkin tidak mengaktifkan logging untuk mendeteksinya jika hal itu terjadi pada Anda, dan yang lebih penting lagi, pengecualian kebijakan akses bersyarat berarti bahwa kontrol yang diharapkan dari banyak organisasi tidak berfungsi sebagaimana mestinya dalam kasus ini.

Rekap kampanye ConsentFix

Mari kita rekap dengan cepat bagaimana kampanye ConsentFix diterapkan.

Korban diberikan halaman yang mengharuskan mereka memverifikasi bahwa mereka adalah manusia dengan menempelkan URL ke halaman phishing.

Mengklik tombol “Masuk” akan membuka halaman login Microsoft yang sah. Jika pengguna sudah masuk (kemungkinan besar mereka masuk jika bekerja di browser normal) informasi akun mereka sudah terisi sebelumnya dan mereka tidak perlu mengautentikasi lagi.

Memilih akun akan mengarahkan mereka ke URL localhost yang berisi kode otorisasi OAuth — inilah yang kemudian mereka posting ke halaman phishing asli untuk menyelesaikan serangan.

Setelah penyerang mendapatkan URL, mereka dapat menukarnya dengan token akses atau token penyegaran untuk aplikasi tertentu yang ditargetkan — dalam hal ini, Azure CLI.

TL;DR-nya adalah penyerang secara manual menyelesaikan alur otorisasi yang terjadi saat pengguna masuk ke Azure CLI — klien baris perintah yang memberi Anda kemampuan untuk mengelola lingkungan Azure AD / Entra ID dengan mudah. Kecuali dalam kasus ini, mereka mengambil informasi korban untuk masuk ke perangkat penyerang.

Detail kampanye terbaru

Sejak kami membagikan postingan blog kami, kami mendapat sejumlah detail tambahan tentang kampanye tersebut, yang terus kami lacak.

Tampaknya hal ini terkait dengan APT29 yang berafiliasi dengan negara Rusia, sebagaimana dikuatkan oleh para peneliti ancaman yang telah bekerja sama dengan kami. Hal ini sesuai dengan taktik diam-diam yang kami amatiyang jauh melampaui teknik penghindaran deteksi biasa yang kita lihat digunakan dalam kampanye phishing kriminal.

Ini memiliki banyak kesamaan dengan, dan tampaknya merupakan evolusi dari, kampanye yang berafiliasi dengan Rusia ini diidentifikasi oleh Volexity yang menampilkan serangan versi manual — di mana korban direkayasa secara sosial melalui email untuk membuka URL Microsoft, menyalin respons localhost, dan mengirimkannya kembali ke penyerang melalui email.

Kontribusi terbaik dari komunitas

Seperti yang kami sebutkan sebelumnya, respons komunitas terhadap ConsentFix sangat luar biasa.

Seperti biasa, Anda mendapatkan banyak vendor yang meliput teknik serangan dengan “instal produk kami” sebagai rekomendasinya. Hal ini memang sudah diduga, namun hal ini menyesatkan ketika beberapa vendor ini menjual produk EDR yang sama sekali tidak memiliki cara untuk mendeteksi atau memblokir serangan tersebut.

Namun melalui pemasaran, banyak sumber daya dan rekomendasi hebat yang dibagikan.

V2.0 dirilis oleh John Hammond

Dalam beberapa hari, John Hammond memposting tentang ConsentFix di saluran Youtube-nyadi mana ia menunjukkan peningkatan yang apik pada penerapan ConsentFix yang digunakan oleh penyerang.

Dalam versinya, URL yang berisi kode otorisasi Microsoft dibuat di jendela browser pop-up yang dapat dengan mudah diseret dan dilepas ke halaman phishing.

Penerapan ini jauh lebih lancar, sehingga lebih besar kemungkinannya korban akan tertipu. Dan ini memakan waktu beberapa hari…

Aplikasi pihak pertama lain yang rentan teridentifikasi

Fabian Bader dan Dirk-jan Mollema dari Glueck Kanja punya berbagi sumber daya yang bagus pada aplikasi pihak pertama yang lebih luas yang rentan terhadap ConsentFix.

Secara total, ada 11 aplikasi yang rentan terhadap ConsentFix yang juga diketahui Pengecualian Akses Bersyarat (baik untuk aplikasi secara umum, atau ketika cakupan tertentu diminta untuk aplikasi):

• Microsoft Azure CLI: 04b07795-8ddb-461a-bbee-02f9e1bf7b46

• Microsoft Azure PowerShell: 1950a258-227b-4e31-a9cf-717495945fc2

• Tim Microsoft: 1fec8e78-bce4-4aaf-ab1b-5451cc387264

• Klien Papan Tulis Microsoft: 57336123-6e14-4acc-8dcf-287b6088aa28

• Microsoft Flow Seluler PROD-GCCH-CN: 57fcbcfa-7cee-4eb1-8b25-12d2030b4ee0

• Roaming dan Cadangan Perusahaan: 60c8bde5-3167-4f92-8fdb-059f6176dc0

• Visual Studio: 872cd9fa-d31f-45e0-9eab-6e460a02d1f1

• Powershell Admin Aadrm: 90f610bf-206d-4950-b61d-37fa6fd1b224

• Shell Manajemen Online Microsoft SharePoint: 9bc3ab49-b65d-410a-85ad-de819febfddc

• Microsoft Power Query untuk Excel: a672d62c-fc7b-4e81-a576-e60dc46e951d

• Kode Visual Studio: aebc6443-996d-45c2-90f0-388ff96faa56

Prediksi untuk ConsentFix

Berdasarkan kecepatan di mana iterasi baru pada teknik ConsentFix dibagikan oleh para peneliti keamanan, dan luasnya aplikasi serta kemungkinan cakupan yang dapat dimanfaatkan, baik tim merah maupun penjahat pasti akan mengadopsi ConsentFix ke dalam gudang senjata TTP mereka dalam waktu dekat.

Kemungkinan besar varian ConsentFix baru akan segera muncul (jika belum beredar).

Semua tim keamanan yang bertanggung jawab untuk melindungi lingkungan Microsoft harus memastikan bahwa kontrol pemantauan dan mitigasi diterapkan sebagai prioritas utama.

Rekomendasi yang diperbarui untuk tim keamanan

Karena teknik serangan ini sepenuhnya berasal dari browser, banyak alat keamanan tradisional dan sumber data yang penggunaannya terbatas dalam mendeteksi atau memblokir serangan ini terlebih dahulu. Pada saat yang sama, serangan tersebut mengeksploitasi konfigurasi keamanan default Microsoft untuk menghindari kontrol pencegahan dan deteksi.

Untuk dapat mengatasi serangan modern seperti ConsentFix yang terjadi sepenuhnya dalam konteks browser, organisasi harus memantau browser sebagai permukaan deteksi, mencari tanda-tanda aktivitas berbahaya, dan memblokir serangan secara real-time — dengan cara yang sama seperti yang Anda harapkan dari EDR untuk serangan titik akhir.

Untuk organisasi yang mengandalkan logging Microsoft sebagai satu-satunya garis pertahanan terhadap serangan ini, ada beberapa rekomendasi baru yang dapat ditambahkan ke dalam daftar berkat respons komunitas:

• Pastikan bahwa logging sudah tidak berlaku lagi AADGraphActivityLogs diaktifkan.

• Cari log untuk ID Aplikasi yang disorot di atas, bersama dengan ID Sumber Daya untuk Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) dan Microsoft Intune Checkin (26a4ae64-5862-427f-a9b0-044e62572a4f)

• Buat Perwakilan Layanan untuk setiap aplikasi yang rentan dan batasi pengguna yang berwenang untuk mengaksesnya untuk mengurangi permukaan serangan pengguna yang dapat terkena phishing dengan metode ini.

• Blokir akses ke alat CLI melalui kebijakan Akses Bersyarat dan berikan pengecualian untuk pengguna/grup yang berwenang.

Sumber daya tambahan yang mungkin berguna termasuk sumber daya yang diciptakan oleh komunitas Aturan deteksi elastis untuk ConsentFix dan panduan mitigasi dan perburuan lebih lanjut dari Glueck Kanja.

Pelajari lebih lanjut tentang Keamanan Push

Meskipun ini adalah teknik baru, Push mencegat serangan tersebut dan mematikannya sebelum pelanggan dapat berinteraksi dengannya.

Push mendeteksi serangan berbasis browser menggunakan kontrol deteksi ancaman perilaku, yang didukung oleh telemetri browser yang dalam, untuk memberikan kemampuan deteksi dan pemblokiran yang luas terhadap serangan yang terjadi di browser. Ini berarti menganalisis proses end-to-end dari halaman web yang dimuat/dijalankan di browser, dan bagaimana pengguna berinteraksi dengan halaman tersebut, untuk menemukan indikator universal dari aktivitas buruk.

Ini adalah satu-satunya cara yang dapat diandalkan untuk mendeteksi situs web berbahaya di dunia di mana deteksi berbasis IoC sulit dilakukan oleh penyerang. Daripada bermain-main, Push mendeteksi dan memblokir ancaman browser zero-day secara real-time.

Push menghentikan serangan berbasis browser seperti phishing AiTM, penjejalan kredensial, ekstensi browser berbahaya, ClickFix, ConsentFix, dan pembajakan sesi.

Anda juga tidak perlu menunggu sampai semuanya menjadi tidak beres — Anda juga dapat menggunakan Push untuk secara proaktif menemukan dan memperbaiki kerentanan di seluruh aplikasi yang digunakan karyawan Anda, seperti login hantu, kesenjangan cakupan SSO, kesenjangan MFA, kata sandi yang rentan, dan banyak lagi untuk memperkuat permukaan serangan identitas Anda.

Untuk mempelajari lebih lanjut tentang Dorong, lihat ikhtisar produk terbaru kami w atau pesan waktu bersama salah satu tim kami untuk demo langsung.

Disponsori dan ditulis oleh Dorong Keamanan.