Um novo tipo de ataque, apelidado de ConsentFix v3, tem circulado em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure. A primeira versão do ConsentFix foi apresentada pela **Push Security** em dezembro passado como uma variação do ClickFix para ataques de phishing OAuth, que engana as vítimas para que completem um fluxo de login legítimo da Microsoft através do Azure CLI. Usando engenharia social, o atacante enganava as vítimas para colar uma URL localhost contendo um código de autorização OAuth que pode ser usado para obter tokens e sequestrar a conta sem senhas, apesar da autenticação multifator (MFA). O ConsentFix v2 foi desenvolvido pelo pesquisador **John Hammond** como uma versão refinada do original da Push, substituindo a cópia/cola manual por arrastar e soltar da URL localhost, tornando o fluxo de phishing mais suave e convincente. O ConsentFix v3 preserva a ideia central de abusar do fluxo de código de autorização OAuth2 e mirar em aplicativos de primeira parte da Microsoft que são pré-confiáveis e pré-consentidos. No entanto, ele traz uma melhoria ao incorporar automação e escalabilidade. ### Fluxo de Ataque do ConsentFix v3 De acordo com informações recuperadas de fóruns de hackers onde a nova técnica é promovida, o ataque começa verificando a presença do Azure no ambiente alvo, checando IDs de tenant válidos. Isso é seguido pela coleta de detalhes de funcionários, como nomes, funções e endereços de e-mail para apoiar a personificação. Em seguida, os atacantes criam várias contas em serviços como Outlook, Tutanota, **Cloudflare**, **DocSend**, **Hunter.io** e **Pipedream** para apoiar operações de phishing, hospedagem, coleta e exfiltração de dados. Pesquisadores da Push Security explicam que o Pipedream, uma plataforma de integração serverless gratuita, desempenha um papel central na automação do ataque, servindo três funções críticas: 1. É o endpoint de webhook que recebe o código de autorização da vítima 2. É o motor de automação que troca imediatamente esse código por um refresh token via API da Microsoft 3. É o coletor central que disponibiliza os tokens capturados em tempo real.  Na próxima fase, o atacante implanta uma página de phishing hospedada no Cloudflare Pages que imita uma interface legítima da Microsoft/Azure e inicia um fluxo OAuth real através do endpoint de login da Microsoft. Quando a vítima interage com a página, ela é redirecionada para uma URL localhost contendo um código de autorização OAuth, que ela é enganada a colar ou arrastar de volta para a página de phishing. Isso permite o pipeline de exfiltração de dados, no qual a página envia a URL capturada para um webhook do Pipedream, e a automação de backend troca imediatamente o código de autorização por tokens. Os e-mails de phishing podem ser altamente personalizados, gerados a partir de dados coletados, e apresentar links maliciosos incorporados dentro de um PDF hospedado no DocSend para melhorar a credibilidade e contornar a filtragem de spam.  Na fase de pós-exploração, os tokens obtidos são importados para o **Specter Portal**, permitindo que o atacante interaja com ambientes Microsoft comprometidos e acesse recursos permitidos pelo token, como e-mail, arquivos e outros serviços vinculados à conta. A Push Security observou que seus testes do ConsentFix v3 se basearam em suas contas Microsoft pessoais; como resultado, é difícil apreciar totalmente o impacto, que depende de permissões, serviços e configurações de tenant, entre outros fatores. Em termos de mitigação dos riscos do ConsentFix, a Push observa que o empreendimento é complicado porque a confiança em aplicativos de primeira parte é arquitetural, e que Family of Client IDs (FOCI), aplicativos Microsoft que compartilham permissões e refresh tokens, é útil de outra forma. No entanto, ainda existem etapas que os administradores podem tomar, como aplicar token binding a dispositivos confiáveis, configurar regras de detecção comportamental e aplicar restrições de autenticação de aplicativos. Embora os ataques ConsentFix sejam usados em campanhas reais, não está claro se a variante v3 ganhou alguma tração entre os cibercriminosos ainda.