Un nuevo tipo de ataque, denominado ConsentFix v3, ha estado circulando en foros de hackers como una técnica mejorada que automatiza los ataques contra Microsoft Azure. La primera versión de ConsentFix fue presentada por **Push Security** en diciembre pasado como una variación de ClickFix para ataques de phishing de OAuth, que engaña a las víctimas para que completen un flujo de inicio de sesión legítimo de Microsoft a través de Azure CLI. Utilizando ingeniería social, el atacante engañaba a las víctimas para que pegaran una URL de localhost que contenía un código de autorización de OAuth que podía usarse para obtener tokens y secuestrar la cuenta sin contraseñas, a pesar de la autenticación multifactor (MFA). ConsentFix v2 fue desarrollado por el investigador **John Hammond** como una versión refinada del original de Push, reemplazando el copiar/pegar manual con arrastrar y soltar la URL de localhost, haciendo que el flujo de phishing sea más fluido y convincente. ConsentFix v3 preserva la idea central de abusar del flujo de código de autorización OAuth2 y apuntar a aplicaciones de primera parte de Microsoft que son pre-confiables y pre-aprobadas. Sin embargo, trae una mejora al incorporar automatización y escalabilidad. ### Flujo de Ataque de ConsentFix v3 Según la información recuperada de foros de hackers donde se promociona la nueva técnica, el ataque comienza verificando la presencia de Azure en el entorno objetivo al comprobar los IDs de tenant válidos. A esto le sigue la recopilación de detalles de empleados como nombres, roles y direcciones de correo electrónico para apoyar la suplantación de identidad. A continuación, los atacantes crean múltiples cuentas en servicios como Outlook, Tutanota, **Cloudflare**, **DocSend**, **Hunter.io** y **Pipedream** para apoyar las operaciones de phishing, alojamiento, recopilación de datos y exfiltración. Los investigadores de Push Security explican que Pipedream, una plataforma de integración sin servidor de uso gratuito, juega un papel central en la automatización del ataque, sirviendo tres roles críticos: 1. Es el punto final del webhook que recibe el código de autorización de la víctima 2. Es el motor de automatización que intercambia inmediatamente ese código por un token de actualización a través de la API de Microsoft 3. Es el colector central que pone los tokens capturados a nuestra disposición en tiempo real.  En la siguiente fase, el atacante implementa una página de phishing alojada en Cloudflare Pages que imita una interfaz legítima de Microsoft/Azure e inicia un flujo de OAuth real a través del punto final de inicio de sesión de Microsoft. Cuando la víctima interactúa con la página, se le redirige a una URL de localhost que contiene un código de autorización de OAuth, que se le engaña para que pegue o arrastre de vuelta a la página de phishing. Esto habilita el pipeline de exfiltración de datos, en el cual la página envía la URL capturada a un webhook de Pipedream, y la automatización del backend intercambia inmediatamente el código de autorización por tokens. Los correos electrónicos de phishing pueden ser altamente personalizados, generados a partir de datos cosechados, y presentar enlaces maliciosos incrustados dentro de un PDF alojado en DocSend para mejorar la credibilidad y eludir el filtrado de spam.  En la etapa de post-explotación, los tokens obtenidos se importan en **Specter Portal**, lo que permite al atacante interactuar con entornos Microsoft comprometidos y acceder a los recursos permitidos por el token, como correo electrónico, archivos y otros servicios vinculados a la cuenta. Push Security señaló que sus pruebas de ConsentFix v3 se basaron en sus cuentas personales de Microsoft; como resultado, es difícil apreciar completamente el impacto, que depende de los permisos, servicios y configuraciones de tenant, entre otros factores. En términos de mitigar los riesgos de ConsentFix, Push señala que el esfuerzo es complicado porque la confianza en las aplicaciones de primera parte es arquitectónica, y que Family of Client IDs (FOCI), aplicaciones de Microsoft que comparten permisos y tokens de actualización, es útil de lo contrario. Sin embargo, todavía hay pasos que los administradores pueden tomar, como aplicar el enlace de tokens a dispositivos de confianza, configurar reglas de detección de comportamiento y aplicar restricciones de autenticación de aplicaciones. Si bien los ataques ConsentFix se utilizan en campañas reales, no está claro si la variante v3 ha ganado tracción entre los ciberdelincuentes todavía.