Une technique d’attaque nommée ConsentFix v3 gagne en popularité sur les forums de pirates informatiques. Elle cible Microsoft Azure en automatisant les opérations malveillantes.
La version initiale de ConsentFix, dévoilée par Push Security en décembre dernier, dérivait de ClickFix. Ce mécanisme exploitait le OAuth phishing pour tromper les victimes lors d’un processus de connexion légitime via l’Azure CLI.
Grâce à des manipulations sociales, les assaillants incitaient les cibles à coller une URL locale incluant un code d’autorisation OAuth. Ce code permettait de récupérer des jetons d’accès et de prendre le contrôle du compte, même protégé par une authentification multifacteur.
Le chercheur John Hammond a ensuite affiné l’approche avec ConsentFix v2, en remplaçant la copie manuelle par un glisser-déposer de l’URL locale. Résultat : un flux de phishing plus naturel et persuasif.
ConsentFix v3 reprend l’essence de l’exploitation du flux d’autorisation OAuth2 et vise les applications Microsoft natives, déjà approuvées par défaut.
Flux de l’attaque ConsentFix v3
Les détails extraits des forums hackers indiquent que l’opération débute par une vérification de la présence d’Azure via des identifiants de locataires valides.
Les attaquants collectent ensuite des informations sur les employés : noms, postes, adresses e-mail, pour faciliter l’usurpation d’identité.
Ils provisionnent des comptes sur des plateformes comme Outlook, Tutanota, Cloudflare, DocSend, Hunter.io et Pipedream, dédiés au phishing, à l’hébergement, à la collecte et à l’exfiltration de données.
Pipedream, plateforme d’intégration serverless gratuite, occupe une place centrale dans l’automatisation :
- Point d’entrée webhook pour le code d’autorisation de la victime.
- Moteur d’échange immédiat du code contre un jeton de rafraîchissement via l’API Microsoft.
- Hub de collecte pour une diffusion en temps réel des jetons capturés.
Source: Push Security
L’étape suivante déploie une page de phishing hébergée sur Cloudflare Pages, imitant fidèlement l’interface Microsoft ou Azure. Elle déclenche un authentification OAuth authentique.
La victime, redirigée vers une URL localhost avec code d’autorisation, est incitée à la reporter sur la page malveillante.
Le code parvient alors à un webhook Pipedream, où l’automatisation l’échange instantanément contre des jetons.
Les e-mails de phishing, ultra-personnalisés à partir des données volées, intègrent des liens piégés dans un PDF sur DocSend pour plus de crédibilité et pour contourner les filtres anti-spam.
Source: Push Security
Après exploitation, les jetons atterrissent dans Specter Portal. Les attaquants accèdent ainsi aux ressources autorisées : messagerie, fichiers et services liés au compte compromis.
Les tests de Push Security sur des comptes personnels limitent l’évaluation des conséquences réelles, influencées par les permissions, services et configurations des locataires.
Contrer ConsentFix s’avère ardu en raison de la confiance inhérente aux applications natives. Les Family of Client IDs (FOCI) aident, mais les administrateurs peuvent activer la liaison de jetons sur appareils fiables, des règles de détection comportementale et des restrictions d’authentification applicative.
Des campagnes réelles exploitent les variantes antérieures de ConsentFix, sans preuve d’adoption massive de la v3 pour l’instant.