Un nouveau type d'attaque, baptisé ConsentFix v3, circule sur les forums de pirates informatiques comme une technique améliorée qui automatise les attaques contre Microsoft Azure. La première version de ConsentFix a été présentée par **Push Security** en décembre dernier comme une variation de ClickFix pour les attaques de phishing OAuth, qui trompe les victimes pour qu'elles complètent un flux de connexion Microsoft légitime via l'Azure CLI. Grâce à l'ingénierie sociale, l'attaquant trompait les victimes pour qu'elles collent une URL localhost contenant un code d'autorisation OAuth qui peut être utilisé pour obtenir des jetons et usurper le compte sans mots de passe, malgré l'authentification multifacteur (MFA). ConsentFix v2 a été développé par le chercheur **John Hammond** comme une version affinée de l'original de Push, remplaçant le copier-coller manuel par un glisser-déposer de l'URL localhost, rendant le flux de phishing plus fluide et plus convaincant. ConsentFix v3 conserve l'idée principale d'abuser du flux de code d'autorisation OAuth2 et de cibler les applications Microsoft de première partie qui sont pré-approuvées et pré-consenties. Cependant, il apporte une amélioration en intégrant l'automatisation et la scalabilité. ### Flux d'attaque ConsentFix v3 Selon les informations récupérées sur les forums de pirates informatiques où la nouvelle technique est promue, l'attaque commence par vérifier la présence d'Azure dans l'environnement cible en recherchant des identifiants de locataire valides. Cela est suivi par la collecte de détails sur les employés tels que les noms, les rôles et les adresses e-mail pour soutenir l'usurpation d'identité. Ensuite, les attaquants créent plusieurs comptes sur des services tels qu'Outlook, Tutanota, **Cloudflare**, **DocSend**, **Hunter.io** et **Pipedream** pour soutenir les opérations de phishing, d'hébergement, de collecte de données et d'exfiltration. Les chercheurs de Push Security expliquent que Pipedream, une plateforme d'intégration serverless gratuite, joue un rôle central dans l'automatisation de l'attaque, remplissant trois fonctions essentielles : 1. C'est le point de terminaison webhook qui reçoit le code d'autorisation de la victime 2. C'est le moteur d'automatisation qui échange immédiatement ce code contre un jeton de rafraîchissement via l'API de Microsoft 3. C'est le collecteur central qui rend les jetons capturés disponibles en temps réel.  Dans la phase suivante, l'attaquant déploie une page de phishing hébergée sur Cloudflare Pages qui imite une interface Microsoft/Azure légitime et lance un flux OAuth réel via le point de terminaison de connexion de Microsoft. Lorsque la victime interagit avec la page, elle est redirigée vers une URL localhost contenant un code d'autorisation OAuth, qu'elle est incitée à coller ou à faire glisser vers la page de phishing. Cela permet le pipeline d'exfiltration de données, dans lequel la page envoie l'URL capturée à un webhook Pipedream, et l'automatisation backend échange immédiatement le code d'autorisation contre des jetons. Les e-mails de phishing peuvent être hautement personnalisés, générés à partir des données collectées, et comporter des liens malveillants intégrés dans un PDF hébergé sur DocSend pour améliorer la crédibilité et contourner le filtrage anti-spam.  Dans la phase post-exploitation, les jetons obtenus sont importés dans **Specter Portal**, permettant à l'attaquant d'interagir avec les environnements Microsoft compromis et d'accéder aux ressources autorisées par le jeton, telles que les e-mails, les fichiers et d'autres services liés au compte. Push Security a noté que ses tests de ConsentFix v3 se sont appuyés sur ses comptes Microsoft personnels ; par conséquent, il est difficile d'apprécier pleinement l'impact, qui dépend des permissions, des services et des paramètres du locataire, entre autres facteurs. En termes d'atténuation des risques de ConsentFix, Push note que l'effort est compliqué car la confiance dans les applications de première partie est architecturale, et que le Family of Client IDs (FOCI), les applications Microsoft qui partagent des permissions et des jetons de rafraîchissement, est utile autrement. Cependant, il existe toujours des mesures que les administrateurs peuvent prendre, telles que l'application de la liaison de jetons aux appareils de confiance, la configuration de règles de détection comportementale et l'application de restrictions d'authentification d'application. Bien que les attaques ConsentFix soient utilisées dans des campagnes réelles, il n'est pas clair si la variante v3 a gagné du terrain parmi les cybercriminels.