イントロダクション: 新たな脅威「ConsentFix」攻撃

Push Securityの研究者らは、Microsoftアカウントをターゲットにした「ConsentFix」と名付けられた巧妙なフィッシング攻撃を発見しました。この攻撃は、OAuth同意操作とClickFix型ソーシャルエンジニアリングを組み合わせることで、パスワードや多要素認証（MFA）を必要とせずにMicrosoftアカウントを侵害します。特に、企業環境で暗黙の信頼を得ているファーストパーティツールであるAzure CLI OAuthアプリケーションを悪用します。

攻撃手法と巧妙な回避策

ConsentFix攻撃は、従来のClickFix攻撃がエンドポイントとのやり取りを必要としたのとは異なり、完全にブラウザ内で完結します。攻撃者は、Google検索結果を介して、高いドメイン評価を持つ侵害された正規ウェブサイトに悪意のあるリンクを仕込みます。これにより、メールベースのアンチフィッシング対策を回避してターゲットに到達します。

• 被害者は、まず偽のCloudflare Turnstile CAPTCHAに遭遇し、ターゲットのフィルタリングが行われます。
• メールアドレスは承認済みターゲットリストと照合され、セキュリティ研究者や不正なアクセスを防ぐためにIPベースのブロッキングも実装されています。
• 認証後、被害者は正規のMicrosoftログインページにリダイレクトされ、アクティブなセッションがあれば資格情報の入力は不要です。
• 攻撃の重要な段階は、OAuth認証コードを含むローカルホストURLへのリダイレクトです。
• 攻撃者は、被害者を欺いてこのURLをコピーさせ、フィッシングページに貼り付けさせます。
• これにより、被害者のMicrosoftアカウントと攻撃者のAzure CLIインスタンス間のOAuth接続が確立され、パスワードやMFAを迂回してアカウントへの完全なアクセス権が攻撃者に付与されます。

Azure CLIが悪用される理由

Azure CLIが理想的な標的となるのは、それがファーストパーティのMicrosoftアプリケーションであり、すべてのEntra IDテナントで暗黙的に信頼されているためです。サードパーティアプリケーションとは異なり、Azure CLIは厳格な同意ポリシーの対象外であり、削除やブロックができません。さらに、テナント全体のサービス権限、レガシーグラフスコープ、Office管理者機能アクセスなど、特別な権限を自動的に受け取ります。この固有の信頼が、攻撃の有効性を大幅に高めています。

高度な検出回避技術と監視すべき兆候

本キャンペーンでは、高度な検出回避技術が用いられています。これには、フィッシングページの繰り返し配信を防ぐための同期IPブロッキング、ユーザー識別子に基づく条件付きJavaScriptの読み込み、および選択的ターゲティングメカニズムが含まれます。これにより、従来のURLベースの検出やトラフィック分析が効果を失います。

Microsoftのログによると、Azure CLIの悪用は正規の管理利用とは区別できるログインイベントを生成し、Windows Azure Active DirectoryやMicrosoft Intuneリソースへの異常なIPアドレスからのアクセスといった不審なリソースアクセスパターンが確認されています。Push Securityの研究者は、trustpointassurance.com、fastwaycheck.com、previewcentral.comなどのフィッシングドメインと、米国およびインドネシアに由来する不審なIPアドレスを観測しています。

推奨される対策

企業は、これらの指標に対する監視を強化し、クラウド認証システムを標的としたブラウザベースの攻撃におけるOAuth同意の固有のリスクについてユーザーへの教育を行う必要があります。

元記事: https://gbhackers.com/consentfix-attack-lets-hackers-hijack-microsoft-accounts/