Pushのセキュリティ研究者は、「ConsentFix」と名付けられた高度な新しいフィッシング攻撃を特定しました。これは、OAuth同意の操作とClickFix型のソーシャルエンジニアリングを組み合わせることで、パスワードを要求したり多要素認証(MFA)を回避したりすることなくMicrosoftアカウントを侵害します。
このキャンペーンは、Azure CLI OAuthアプリケーションの悪用を通じてユーザーを明示的に標的とします。このMicrosoft製のファーストパーティツールは、企業環境内で暗黙の信頼を得ています。
ConsentFix攻撃は、ブラウザコンテキスト内だけで完結する、従来のフィッシング手法の危険な進化形です。
エンドポイント側での操作を必要とする従来のClickFix攻撃とは異なり、ConsentFixは、Google検索結果を経由して悪意あるリンクを配信することで、メールベースのアンチフィッシング対策を回避します。これらのリンクは、高いドメイン評価を持つ侵害済みの正規サイトを指しています。
この配信手法により、攻撃者は従来のセキュリティ対策をすり抜けて被害者に到達できます。
攻撃のワークフローはいくつかの高度なステップで構成されています。悪意あるウェブページにアクセスした被害者は、まず標的をふるい分けるために設計された偽のCloudflare Turnstile CAPTCHAを目にします。このシステムは、メールアドレスを承認済みターゲットリストと照合して検証します。
さらに、キャンペーン全体のドメインに対してIPベースのブロッキングを実装し、セキュリティ研究者や未承認の人物がフィッシング基盤にアクセスするのを防ぎます。
認証が完了すると、被害者はサインインボタンをクリックするよう指示され、正規のMicrosoftログインページへリダイレクトされます。ユーザーがすでにMicrosoftセッションをアクティブにしている場合、資格情報の入力は不要です。
重要なフェーズは、被害者がOAuth認可コードを含むlocalhostのURLへリダイレクトされる段階で発生します。
攻撃者は、ユーザーにこのURLをコピーしてフィッシングページに貼り付けるよう誘導し、被害者のMicrosoftアカウントと攻撃者のAzure CLIインスタンスとの間にOAuth接続を確立します。
これにより、攻撃者はパスワードを取得したりMFAを迂回したりすることなく、アカウントへの完全なアクセス権を得ます。
Azure CLIは、すべてのEntra IDテナントで暗黙的に信頼されているMicrosoft製ファーストパーティアプリケーションとして機能するため、悪用対象として理想的です。
厳格な同意ポリシーの対象となるサードパーティアプリケーションとは異なり、Azure CLIは削除やブロックができず、テナント全体にわたるサービス権限、レガシーGraphスコープ、Office管理機能へのアクセスなど、特別な権限を自動的に付与されます。
このような本質的な信頼により、サードパーティアプリケーションを悪用するフィッシングと比べて、攻撃の有効性は大幅に高まります。
このキャンペーンには、高度な検知回避技術が組み込まれており、フィッシングページの繰り返し配信を防ぐための同期IPブロッキング、ユーザー識別子に基づく条件付きJavaScript読み込み、選択的なターゲティングメカニズムなどが含まれます。
これらの防御により、従来のURLベースの検知やトラフィック分析はほとんど効果を失います。
Microsoftのログによると、Azure CLIの悪用は、正当な管理目的での利用とは異なるログインイベントを生成し、不審なリソースアクセスパターンが見られます。これには、Windows Azure Active DirectoryやMicrosoft Intuneリソースへのアクセスが、異常なIPアドレスから行われるケースが含まれます。
Push Securityの研究者は、このキャンペーンに関連するフィッシングドメインとして、trustpointassurance.com、fastwaycheck.com、previewcentral.comなどを確認しており、米国およびインドネシア発と見られる不審なIPアドレスも観測しています。
セキュリティチームは、これらのインジケータに対する監視を強化するとともに、クラウド認証システムを標的とするブラウザベース攻撃において、OAuth同意が内包するリスクについてユーザー教育を行うべきです。
翻訳元: https://gbhackers.com/consentfix-attack-lets-hackers-hijack-microsoft-accounts/
