‘ConsentFix’と名付けられたClickFix攻撃の新たな亜種は、Azure CLI OAuthアプリを悪用して、パスワードなしで、あるいは多要素認証(MFA)を回避してMicrosoftアカウントを乗っ取ります。
ClickFix攻撃 とは、ユーザーにコンピュータ上でコマンドを実行させ、マルウェアをインストールさせたりデータを盗み出したりすることを狙うソーシャルエンジニアリング手法です。多くの場合、エラーを修正する、あるいは自分がボットではなく人間であることを確認するためだと偽る偽の手順が用いられます。
この新しいConsentFixの亜種はサイバーセキュリティ企業Push Securityによって発見されました。同社は、ConsentFix手法がOAuth 2.0の認可コードを盗み、それを利用してAzure CLIのアクセストークンを取得できると説明しています。
Azure CLIは、ユーザーがローカルマシンからAzureおよびMicrosoft 365リソースを認証・管理できるようにする、OAuthフローを利用したMicrosoftのコマンドラインアプリケーションです。このキャンペーンでは、攻撃者は被害者をだましてAzure CLIのOAuthフローを完了させ、その結果として生成される認可コードを盗み出します。攻撃者はそのコードを使って、ユーザーのパスワードやMFAなしでアカウントへ完全にアクセスできるようになります。
ConsentFix攻撃の流れ
ConsentFix攻撃は、被害者が特定の検索語句でGoogle検索結果の上位に表示される、侵害された正規サイトにアクセスすることから始まります。
訪問者には、Cloudflare Turnstileを装った偽のCAPTCHAウィジェットが表示され、有効なビジネス用メールアドレスの入力を求められます。攻撃者のスクリプトは、このメールアドレスをターゲットリストと照合し、ボットやアナリスト、その他ターゲット外の人物をふるい落とします。
出典: Push Security
このチェックを通過したユーザーには、ClickFixのインタラクションパターンに似たページが表示され、人間であることを確認するための手順が提示されます。
その手順とは、ページ上の「Sign in」ボタンをクリックすることで、新しいタブで正規のMicrosoftのURLが開きます。
出典: Push Security
しかし、これは一般的なMicrosoftのログインプロンプトではなく、Azure CLIのOAuthアクセスコードを生成するために使われるAzureのログインページです。
出典: BleepingComputer
ユーザーがすでにMicrosoftアカウントにログインしている場合は、自分のアカウントを選択するだけで済み、そうでない場合はMicrosoftの本物のログインページで通常どおり認証を行います。
この処理が完了すると、Microsoftはユーザーをlocalhostページにリダイレクトし、ブラウザのアドレスバーには、ユーザーのアカウントに紐づいたAzure CLI OAuth認可コードを含むURLが表示されます。
フィッシングは、ユーザーが指示どおりにそのURLを悪意あるページに貼り付けた時点で完了し、攻撃者はAzure CLI OAuthアプリを介してMicrosoftアカウントへのアクセス権を得ます。
「手順が完了すると、被害者は事実上、攻撃者にAzure CLI経由で自分のMicrosoftアカウントへのアクセスを許可したことになります」と、Pushは説明しています。
「この時点で、攻撃者は被害者のMicrosoftアカウントを実質的に制御できますが、そのためにパスワードをフィッシングしたり、MFAチェックを突破したりする必要は一切ありません。」
「実際、ユーザーがすでにMicrosoftアカウントにログインしていた(つまりアクティブセッションがあった)場合は、ログイン自体がまったく不要です。」
Pushによると、この攻撃は被害者のIPアドレスごとに1回しか発動せず、有効なターゲットが同じフィッシングページに再訪したとしても、Cloudflare Turnstileのチェックは表示されません。
研究者らは、防御側に対し、新しいIPアドレスからのログインなど、不審なAzure CLIログイン活動を監視することや、攻撃者が検知回避のために意図的に悪用するレガシーGraphスコープを監視することを推奨しています。
