「ConsentFix」と名付けられた新たな手法は、既に知られているClickFixソーシャルエンジニアリング攻撃を発展させたもので、パスワードや多要素認証なしでMicrosoftアカウントを乗っ取ることを可能にします。攻撃者は、正規のAzure CLIアプリケーションとOAuth認可の細かな挙動を悪用し、標準的なサインインフローをアカウント乗っ取りの仕組みに変えてしまいます。
ClickFixは、ユーザーに疑似システムの指示を提示し、コマンドを実行させたり、一見無害に見える手順を完了させるよう促すことで、エラーの解消や「人間性」の確認を装います。Push Securityチームによって文書化されたConsentFixの亜種は、この全体的な欺瞞手法を維持しつつも、マルウェアのインストールをやめ、代わりにOAuth 2.0の認可コードを盗み取ることに重点を置いています。このコードは、その後Azure CLIのアクセストークンを取得するために使用されます。
攻撃は、被害者がGoogle検索結果で上位に表示される、正規だが侵害されたウェブサイトにアクセスしたときに始まります。そのページには、業務用メールアドレスの入力を求める偽のCloudflare Turnstileウィジェットが表示されます。攻撃者のスクリプトは、送信されたアドレスを事前に用意されたターゲットリストと照合し、ボット、アナリスト、偶然の訪問者をふるい落とします。選別された被害者にのみ、典型的なClickFixのワークフローを模した次のステージが表示され、見かけ上は無害な検証ステップが提示されます。
被害者はサインインボタンをクリックするよう指示され、別タブで正規のMicrosoftドメインが開きます。しかし、標準的なログインページではなく、Azure CLI専用のOAuthコードを生成するAzureの認可画面が表示されます。すでに有効なMicrosoftセッションが存在する場合、ユーザーは自分のアカウントを選択するだけで済み、そうでなければ正規フォームを使った通常のログインが行われます。
認証が成功すると、ブラウザはlocalhostにリダイレクトされ、アドレスバーには、そのアカウントに紐づいたAzure CLI認可コードを含むURLが表示されます。最後の欺瞞行為として、被害者はこのURLを悪意あるページに貼り付けるよう指示されます。その瞬間、攻撃者はこのコードをアクセストークンと交換し、パスワードを知ることも多要素認証を発動させることもなく、Azure CLI経由でアカウントを制御できるようになります。すでにセッションが有効な場合は、明示的なログインすら不要です。露見リスクを減らすため、このシナリオはIPアドレスごとに1回のみ実行されます。
Push Securityは、防御側チームに対し、見慣れないIPアドレスからのログインを含む不審なAzure CLIアクティビティを監視し、この手法が標準的な検知コントロールの回避に利用するレガシーGraph権限の使用状況を精査するよう助言しています。
