新しい攻撃タイプであるConsentFix v3が、Microsoft Azureに対する攻撃を自動化する改良された手法として、ハッカーフォーラムで流通しています。 ConsentFixの最初のバージョンは、昨年12月に**Push Security**によって、Azure CLI経由で正規のMicrosoftログインフローを完了させるよう被害者を騙すOAuthフィッシング攻撃のClickFixのバリエーションとして発表されました。 ソーシャルエンジニアリングを使用し、攻撃者は被害者を騙して、パスワードなしでトークンを取得し、多要素認証（MFA）にもかかわらずアカウントを乗っ取ることができるOAuth認可コードを含むローカルホストURLを貼り付けさせました。 ConsentFix v2は、研究者である**John Hammond**によってPushのオリジナルを改良したバージョンとして開発され、手動のコピー＆ペーストをローカルホストURLのドラッグ＆ドロップに置き換えることで、フィッシングフローをよりスムーズで説得力のあるものにしました。 ConsentFix v3は、OAuth2認可コードフローを悪用し、事前に信頼され、事前に同意されているファーストパーティのMicrosoftアプリケーションを標的とするという中心的なアイデアを維持しています。 しかし、自動化とスケーラビリティを組み込むことで改善をもたらしています。 ### ConsentFix v3 攻撃フロー 新しい手法が宣伝されているハッカーフォーラムから取得した情報によると、攻撃は、有効なテナントIDを確認することで、ターゲット環境にAzureが存在するかどうかを確認することから始まります。 次に、なりすましを支援するために、名前、役割、メールアドレスなどの従業員の詳細を収集します。 次に、攻撃者はフィッシング、ホスティング、データ収集、および漏洩操作をサポートするために、Outlook、Tutanota、**Cloudflare**、**DocSend**、**Hunter.io**、**Pipedream**などのサービス全体で複数のアカウントを作成します。 Push Securityの研究者によると、無料で利用できるサーバーレス統合プラットフォームであるPipedreamが、攻撃の自動化において中心的な役割を果たし、3つの重要な役割を担っています。 1. 被害者の認可コードを受信するWebhookエンドポイントです。 2. MicrosoftのAPIを介してそのコードをすぐにリフレッシュトークンと交換する自動化エンジンです。 3. キャプチャされたトークンをリアルタイムで利用可能にする中央コレクターです。  次のフェーズでは、攻撃者はCloudflare Pagesでホストされているフィッシングページを展開し、正規のMicrosoft/Azureインターフェースを模倣し、Microsoftのログインエンドポイントを通じて実際のOAuthフローを開始します。 被害者がページと対話すると、OAuth認可コードを含むローカルホストURLにリダイレクトされ、フィッシングページに貼り付けたりドラッグしたりするように騙されます。 これにより、データ漏洩パイプラインが可能になり、ページはキャプチャされたURLをPipedream Webhookに送信し、バックエンドの自動化は認可コードをトークンと即座に交換します。 フィッシングメールは、収集されたデータから生成され、信頼性を向上させ、スパムフィルタを回避するためにDocSendでホストされているPDF内に悪意のあるリンクを埋め込むことで、高度にパーソナライズできます。  ポストエクスプロイトステージでは、取得したトークンが**Specter Portal**にインポートされ、攻撃者は侵害されたMicrosoft環境と対話して、トークンによって許可されたリソース（メール、ファイル、アカウントに関連付けられたその他のサービスなど）にアクセスできるようになります。 Push Securityは、ConsentFix v3のテストは個人のMicrosoftアカウントに依存していたため、影響を完全に評価することは困難であり、権限、サービス、テナント設定など、他の要因に依存すると述べています。 ConsentFixのリスクを軽減するという点では、ファーストパーティアプリケーションへの信頼はアーキテクチャ上のものであり、クライアントIDファミリー（FOCI）、つまり権限とリフレッシュトークンを共有するMicrosoftアプリケーションは、それ以外の場合は有用であるため、Pushは、この取り組みは複雑であると指摘しています。 しかし、管理者が実行できる手順はまだあります。たとえば、信頼されたデバイスにトークンバインディングを適用したり、行動検出ルールを設定したり、アプリケーション認証制限を適用したりすることです。 ConsentFix攻撃は実際のキャンペーンで使用されていますが、v3バリアントがサイバー犯罪者の間でどの程度普及しているかは不明です。