新型ConsentFix攻擊：借助Azure CLI劫持微軟賬戶

近期，一種名為ConsentFix的ClickFix攻擊新變種被發(fā)現(xiàn)，該攻擊手法可濫用Azure CLI OAuth應(yīng)用劫持微軟賬戶，全程無需獲取用戶密碼，也無需繞過多重身份驗證機制。

ClickFix攻擊本質(zhì)上是一種社會工程學(xué)攻擊手段，其核心原理是誘騙用戶在本地設(shè)備執(zhí)行特定命令，進而實現(xiàn)惡意軟件植入或數(shù)據(jù)竊取的目的。這類攻擊通常會偽造“修復(fù)系統(tǒng)錯誤”“人機身份驗證”等虛假操作指引，以此迷惑用戶。

ConsentFix技術(shù)的核心在于竊取OAuth 2.0授權(quán)碼，攻擊者可利用該授權(quán)碼獲取Azure CLI訪問令牌。

Azure CLI是微軟官方推出的命令行工具，其基于OAuth認證流程，支持用戶在本地設(shè)備完成身份驗證，進而管理Azure及Microsoft 365的各類資源。在該攻擊活動中，攻擊者會誘騙受害者完成Azure CLI的OAuth認證流程，隨后竊取生成的授權(quán)碼，并通過該授權(quán)碼獲取目標賬戶的完全訪問權(quán)限，整個過程既不需要用戶密碼，也無需突破多重身份驗證防護。

ConsentFix攻擊的實施流程

ConsentFix攻擊的第一步，是誘導(dǎo)受害者訪問一個已被入侵的合法網(wǎng)站。該網(wǎng)站針對特定關(guān)鍵詞在谷歌搜索結(jié)果中排名靠前，具備較強的迷惑性。

受害者訪問網(wǎng)站后，頁面會彈出偽造的Cloudflare Turnstile驗證碼組件，要求輸入有效的企業(yè)郵箱地址。

攻擊者預(yù)先植入的腳本會將該郵箱地址與目標清單進行比對，過濾掉機器人程序、安全分析師以及非目標對象。

受害者被提示輸入他們的電子郵件地址

通過驗證的用戶會看到一個模仿ClickFix交互模式的頁面，頁面提供“人機驗證”的操作指引。指引內(nèi)容為點擊頁面上的“登錄”按鈕，該操作會在新標簽頁打開一個微軟官方URL。但需要注意的是，這并非常規(guī)的微軟登錄界面，而是用于生成Azure CLI OAuth訪問碼的Azure登錄頁面。

如果用戶此前已登錄微軟賬戶，僅需選擇對應(yīng)賬戶即可；若未登錄，則需在微軟真實登錄頁面完成常規(guī)身份驗證。

完成上述操作后，微軟會將用戶重定向至一個本地主機（localhost）頁面，此時瀏覽器地址欄中會顯示一個包含Azure CLI OAuth授權(quán)碼的URL，該授權(quán)碼與用戶的微軟賬戶直接綁定。

帶有代碼的ClickFix風(fēng)格的頁面，用于竊取URL

按照頁面指引，用戶會將該URL復(fù)制粘貼至惡意頁面，至此釣魚流程全部完成，攻擊者可通過Azure CLI OAuth應(yīng)用獲取目標微軟賬戶的訪問權(quán)限。

Microsoft Azure CLI 登錄頁面

一旦受害者完成上述操作，就等同于通過Azure CLI向攻擊者開放了自己的微軟賬戶訪問權(quán)限。至此，攻擊者已實際控制受害者的微軟賬戶，且全程既沒有進行密碼釣魚，也沒有突破多重身份驗證的防護。事實上，如果用戶此前已處于微軟賬戶登錄狀態(tài)（即存在有效會話），整個過程甚至不需要用戶進行任何登錄操作。

該攻擊針對每個受害者IP地址僅觸發(fā)一次。因此，即便目標對象再次訪問同一釣魚頁面，也不會再出現(xiàn)Cloudflare Turnstile驗證步驟。

安全研究人員建議，防御人員應(yīng)密切監(jiān)測異常的Azure CLI登錄行為，例如來自陌生IP地址的登錄操作；同時需重點監(jiān)控舊版Graph權(quán)限范圍的使用情況，攻擊者通常會刻意利用這類權(quán)限來規(guī)避檢測。

參考及來源：https://www.bleepingcomputer.com/news/security/new-consentfix-attack-hijacks-microsoft-accounts-via-azure-cli/