Jenis serangan baru, yang dijuluki ConsentFix v3, telah beredar di forum peretas sebagai teknik yang ditingkatkan yang mengotomatiskan serangan terhadap Microsoft Azure.
Versi pertama dari ConsentFix adalah disajikan oleh Push Security Desember lalu sebagai variasi serangan phishing ClickFix untuk OAuth, yang menipu korban agar menyelesaikan alur masuk Microsoft yang sah melalui Azure CLI.
Dengan menggunakan rekayasa sosial, penyerang menipu korban dengan menempelkan URL localhost yang berisi kode otorisasi OAuth yang dapat digunakan untuk mendapatkan token dan membajak akun tanpa kata sandi, meskipun dilakukan autentikasi multi-faktor (MFA).
ConsentFix v2 dikembangkan oleh peneliti John Hammond sebagai versi yang disempurnakan dari versi asli Push, menggantikan salin/tempel manual dengan drag-and-drop URL localhost, membuat aliran phishing lebih lancar dan meyakinkan.
ConsentFix v3 mempertahankan gagasan inti penyalahgunaan aliran kode otorisasi OAuth2 dan menargetkan aplikasi Microsoft pihak pertama yang telah dipercaya dan diberi izin sebelumnya.
Namun, hal ini membawa kemajuan dengan menggabungkan otomatisasi dan skalabilitas.
Alur serangan ConsentFix v3
Menurut informasi yang diambil dari forum peretas tempat teknik baru ini dipromosikan, serangan dimulai dengan memverifikasi keberadaan Azure di lingkungan target dengan memeriksa ID penyewa yang valid.
Ini diikuti dengan mengumpulkan detail karyawan seperti nama, peran, dan alamat email untuk mendukung peniruan identitas.
Selanjutnya, penyerang membuat banyak akun di seluruh layanan seperti Outlook, Tutanota, Cloudflare, DocSend, Hunter.io, dan Pipedream untuk mendukung operasi phishing, hosting, pengumpulan data, dan eksfiltrasi.
Peneliti Push Security menjelaskan bahwa Pipedream, platform integrasi tanpa server yang gratis digunakan, memainkan peran penting dalam mengotomatisasi serangan, dengan melakukan tiga peran penting:
- Apakah titik akhir webhook yang menerima kode otorisasi korban
- Ini adalah mesin otomasi yang segera menukar kode tersebut dengan token penyegaran melalui API Microsoft
- Kolektor pusatlah yang membuat token yang ditangkap tersedia bagi kita secara real time.
Sumber: Dorong Keamanan
Pada fase berikutnya, penyerang menyebarkan halaman phishing yang dihosting di Cloudflare Pages yang meniru antarmuka Microsoft/Azure yang sah dan memulai aliran OAuth nyata melalui titik akhir login Microsoft.
Ketika korban berinteraksi dengan halaman tersebut, mereka diarahkan ke URL localhost yang berisi kode otorisasi OAuth, yang kemudian mereka tertipu untuk menempelkan atau menyeretnya kembali ke halaman phishing.
Hal ini mengaktifkan alur eksfiltrasi data, yang mana halaman mengirimkan URL yang diambil ke webhook Pipedream, dan otomatisasi backend segera menukarkan kode otorisasi untuk token.
Email phishing dapat sangat dipersonalisasi, dihasilkan dari data yang dikumpulkan, dan menampilkan tautan berbahaya yang tertanam di dalam PDF yang dihosting di DocSend untuk meningkatkan kredibilitas dan melewati pemfilteran spam.
Sumber: Dorong Keamanan
Pada tahap pasca-eksploitasi, token yang diperoleh diimpor ke Spectre Portal, memungkinkan penyerang berinteraksi dengan lingkungan Microsoft yang disusupi dan mengakses sumber daya yang diizinkan oleh token, seperti email, file, dan layanan lain yang terkait dengan akun tersebut.
Push Security mencatat bahwa pengujian ConsentFix v3 mengandalkan akun Microsoft pribadinya; akibatnya, sulit untuk sepenuhnya memahami dampaknya, yang bergantung pada izin, layanan, pengaturan penyewa, dan beberapa faktor lainnya.
Dalam hal memitigasi risiko ConsentFix, Push mencatat bahwa upaya ini rumit karena kepercayaan pada aplikasi pihak pertama bersifat arsitektural, dan itu Keluarga ID Klien (FOCI), aplikasi Microsoft yang berbagi izin dan token penyegaran, berguna sebaliknya.
Namun, masih ada beberapa langkah yang dapat diambil administrator, seperti menerapkan pengikatan token ke perangkat tepercaya, menyiapkan aturan deteksi perilaku, dan menerapkan pembatasan autentikasi aplikasi.
Meskipun serangan ConsentFix digunakan dalam kampanye sebenarnya, masih belum jelas apakah varian v3 telah mendapatkan daya tarik di kalangan penjahat dunia maya.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
