Eine neue Angriffsart, genannt ConsentFix v3, zirkuliert auf Hacker-Foren als verbesserte Technik, die Angriffe gegen Microsoft Azure automatisiert. Die erste Version von ConsentFix wurde im vergangenen Dezember von **Push Security** als Variante von ClickFix für OAuth-Phishing-Angriffe vorgestellt, die Opfer dazu verleitet, einen legitimen Microsoft-Login-Flow über die Azure CLI abzuschließen. Durch Social Engineering wurde das Opfer dazu gebracht, eine localhost-URL mit einem OAuth-Autorisierungscode einzufügen, der zum Erhalt von Tokens und zur Übernahme des Kontos ohne Passwörter, trotz Multi-Faktor-Authentifizierung (MFA), verwendet werden kann. ConsentFix v2 wurde vom Forscher **John Hammond** als verfeinerte Version des Originals von Push entwickelt, wobei das manuelle Kopieren und Einfügen durch Drag-and-Drop der localhost-URL ersetzt wurde, was den Phishing-Flow reibungsloser und überzeugender machte. ConsentFix v3 behält die Kernidee des Missbrauchs des OAuth2-Autorisierungscode-Flows und zielt auf First-Party-Microsoft-Apps ab, die vorab vertrauenswürdig und vorab genehmigt sind. Es bringt jedoch eine Verbesserung durch die Einbeziehung von Automatisierung und Skalierbarkeit. ### ConsentFix v3 Angriffsablauf Laut Informationen aus Hacker-Foren, auf denen die neue Technik beworben wird, beginnt der Angriff mit der Überprüfung der Anwesenheit von Azure in der Zielumgebung durch die Prüfung auf gültige Tenant-IDs. Anschließend werden Mitarbeiterdetails wie Namen, Rollen und E-Mail-Adressen gesammelt, um die Identitätsverschleierung zu unterstützen. Als Nächstes erstellen die Angreifer mehrere Konten auf Diensten wie Outlook, Tutanota, **Cloudflare**, **DocSend**, **Hunter.io** und **Pipedream**, um Phishing-, Hosting-, Datenerfassungs- und Exfiltrationsoperationen zu unterstützen. Forscher von Push Security erklären, dass Pipedream, eine kostenlos nutzbare serverlose Integrationsplattform, eine zentrale Rolle bei der Automatisierung des Angriffs spielt und drei kritische Funktionen erfüllt: 1. Es ist der Webhook-Endpunkt, der den Autorisierungscode des Opfers empfängt. 2. Es ist die Automatisierungs-Engine, die diesen Code sofort über die Microsoft API gegen einen Refresh-Token austauscht. 3. Es ist der zentrale Sammler, der erfasste Tokens in Echtzeit für uns verfügbar macht.  In der nächsten Phase stellen die Angreifer eine Phishing-Seite bereit, die auf Cloudflare Pages gehostet wird und eine legitime Microsoft/Azure-Oberfläche nachahmt, und initiieren einen echten OAuth-Flow über den Microsoft-Login-Endpunkt. Wenn das Opfer mit der Seite interagiert, wird es zu einer localhost-URL weitergeleitet, die einen OAuth-Autorisierungscode enthält, den es dazu verleitet wird, in die Phishing-Seite einzufügen oder zurückzuziehen. Dies ermöglicht die Datenexfiltrations-Pipeline, bei der die Seite die erfasste URL an einen Pipedream-Webhook sendet und die Backend-Automatisierung den Autorisierungscode sofort gegen Tokens austauscht. Die Phishing-E-Mails können stark personalisiert sein, aus gesammelten Daten generiert werden und bösartige Links enthalten, die in einem auf DocSend gehosteten PDF eingebettet sind, um die Glaubwürdigkeit zu erhöhen und Spam-Filter zu umgehen.  In der Post-Exploitation-Phase werden die erhaltenen Tokens in **Specter Portal** importiert, was es dem Angreifer ermöglicht, mit kompromittierten Microsoft-Umgebungen zu interagieren und auf Ressourcen zuzugreifen, die durch den Token erlaubt sind, wie z. B. E-Mails, Dateien und andere mit dem Konto verknüpfte Dienste. Push Security merkte an, dass seine Tests von ConsentFix v3 auf persönlichen Microsoft-Konten basierten; infolgedessen ist es schwierig, die Auswirkungen vollständig zu erfassen, die von Berechtigungen, Diensten und Tenant-Einstellungen abhängen, unter anderem. In Bezug auf die Minderung von ConsentFix-Risiken merkt Push an, dass das Unterfangen kompliziert ist, da das Vertrauen in First-Party-Apps architektonisch bedingt ist und dass die Family of Client IDs (FOCI), Microsoft-Anwendungen, die Berechtigungen und Refresh-Tokens teilen, ansonsten nützlich ist. Es gibt jedoch immer noch Schritte, die Administratoren unternehmen können, wie z. B. die Anwendung von Token-Binding auf vertrauenswürdige Geräte, die Einrichtung von Verhaltenserkennungsregeln und die Anwendung von App-Authentifizierungsbeschränkungen. Obwohl ConsentFix-Angriffe in tatsächlichen Kampagnen eingesetzt werden, ist unklar, ob die v3-Variante bei Cyberkriminellen bereits an Bedeutung gewonnen hat.