Variasi baru serangan ClickFix yang dijuluki ‘ConsentFix’ menyalahgunakan aplikasi Azure CLI OAuth untuk membajak akun Microsoft tanpa memerlukan kata sandi atau melewati verifikasi autentikasi multifaktor (MFA).
A Serangan ClickFix adalah teknik rekayasa sosial yang mencoba mengelabui pengguna agar menjalankan perintah di komputer mereka untuk memasang malware atau mencuri data. Mereka biasanya menggunakan instruksi palsu yang berpura-pura memperbaiki kesalahan atau memverifikasi bahwa mereka adalah manusia dan bukan bot.
Varian ConsentFix baru ini ditemukan oleh perusahaan keamanan siber Push Security, yang menjelaskan bahwa teknik ConsentFix mencuri kode otorisasi OAuth 2.0 yang dapat digunakan untuk mendapatkan Azure CLI token akses.
Azure CLI adalah aplikasi baris perintah Microsoft yang menggunakan aliran OAuth untuk memungkinkan pengguna mengautentikasi dan mengelola sumber daya Azure dan Microsoft 365 dari mesin lokal mereka. Dalam kampanye ini, penyerang mengelabui korban agar menyelesaikan alur Azure CLI OAuth dan kemudian mencuri kode otorisasi yang dihasilkan, yang mereka tukarkan untuk akses akun penuh tanpa memerlukan kata sandi atau MFA pengguna.
Serangan ConsentFix
Serangan ConsentFix dimulai dengan korban mendarat di situs web sah yang telah disusupi dan berperingkat tinggi di hasil Google Penelusuran untuk istilah tertentu.
Pengunjung diperlihatkan widget Cloudflare Turnstile CAPTCHA palsu yang meminta alamat email bisnis yang valid. Skrip penyerang memeriksa alamat ini terhadap daftar target yang dituju, menyaring bot, analis, dan siapa pun yang tidak ada dalam daftar target.
Sumber: Dorong Keamanan
Pengguna yang lolos pemeriksaan ini akan diperlihatkan halaman yang menyerupai pola interaksi ClickFix, yang memberikan instruksi kepada korban untuk memverifikasi bahwa mereka adalah manusia.
Petunjuk ini adalah dengan mengklik tombol ‘Masuk’ di halaman, yang akan membuka URL Microsoft yang sah di tab baru.
Sumber: Dorong Keamanan
Namun, ini bukan perintah masuk Microsoft biasa, melainkan halaman masuk Azure yang digunakan untuk menghasilkan kode akses Azure CLI OAuth.
Sumber: BleepingComputer
Jika pengguna sudah masuk ke akun Microsoft, mereka hanya perlu memilih akunnya; jika tidak, mereka mengautentikasi secara normal di halaman login Microsoft yang sebenarnya.
Setelah ini terjadi, Microsoft mengalihkan mereka ke halaman localhost, dan bilah alamat browser sekarang menampilkan URL yang berisi kode otorisasi Azure CLI OAuth yang terkait dengan akun pengguna.
Proses phishing selesai ketika pengguna menempelkan URL ke halaman berbahaya, sesuai instruksi yang diberikan, memberikan penyerang akses ke akun Microsoft melalui aplikasi Azure CLI OAuth.
“Setelah langkah-langkah tersebut selesai, korban secara efektif telah memberikan penyerang akses ke akun Microsoft mereka melalui Azure CLI,” menjelaskan Dorong.
“Pada titik ini, penyerang memiliki kontrol efektif terhadap akun Microsoft korban, namun tanpa perlu melakukan phishing kata sandi atau melewati pemeriksaan MFA.”
Faktanya, jika pengguna sudah masuk ke akun Microsoft mereka (yaitu, mereka memiliki sesi aktif), tidak diperlukan login sama sekali.
Push mengatakan serangan tersebut hanya terpicu satu kali per alamat IP korban, jadi meskipun target yang valid kembali ke halaman phishing yang sama, mereka tidak akan mendapatkan pemeriksaan Cloudflare Turnstile.
Para peneliti menyarankan agar pembela HAM mencari aktivitas masuk Azure CLI yang tidak biasa, seperti masuk dari alamat IP baru, dan memantau cakupan Graph lama, yang sengaja dimanfaatkan oleh penyerang untuk menghindari deteksi.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
