網路攻擊手法不斷演進，惡意行為者正積極尋找利用合法應用程式和協議中的漏洞進行滲透。ClickFix 攻擊的一種新變種被稱為“ConsentFix”社會工程攻擊手段，它濫用 Azure CLI OAuth 應用程式來劫持 Microsoft 帳戶，而無需密碼或繞過多重身份驗證 (MFA) 驗證。這種攻擊的出現，標誌著從傳統的密碼竊取轉向更為隱蔽和複雜的身份驗證流程濫用。ClickFix攻擊旨在誘騙使用者在其電腦上執行命令，從而安裝惡意軟體或竊取資料。攻擊者通常使用虛假指令，假裝修復錯誤或驗證使用者身分（例如，使用者是真人而非機器人）。ConsentFix 攻擊延續了這種社會工程的欺騙性，但其最終目標和技術手段更為精確和複雜。

網路安全公司Push Security發現了這種ConsentFix變種，該公司解釋說，ConsentFix技術會竊取 OAuth 2.0 授權碼，這些授權碼可用於取得Azure CLI存取權杖。OAuth 2.0 授權碼是用於交換存取權杖的短期憑證，其竊取成功意味著攻擊者獲得了後續存取權杖和帳戶控制的關鍵鑰匙。

Azure CLI 是微軟提供的命令列應用程序，它使用 OAuth 流程允許使用者透過身份驗證從本機電腦管理Azure 和 Microsoft 365 資源。在這次攻擊活動中，攻擊者誘騙受害者完成 Azure CLI 的 OAuth 流程，然後竊取產生的授權碼，並以此換取完整的帳戶存取權限，而無需使用者的密碼或多因素身份驗證 (MFA)。這種攻擊的關鍵在於濫用了合法的身份驗證流程。受害者並非直接輸入密碼，而是在社會工程的誘騙下「同意」了應用程式的授權請求，從而產生了攻擊者所需的授權碼。一旦攻擊者獲得了存取權杖，他們便能以受害者的身份在 Azure 和 Microsoft 365 環境中執行操作，這對企業來說構成嚴重的雲端安全風險。

這種攻擊的執行流程通常涉及多個複雜的步驟。首先，攻擊者透過釣魚郵件或網站，誘騙使用者點擊連結並被導向至一個旨在啟動 Azure CLI OAuth 流程的頁面。當使用者被要求「修復錯誤」或「驗證身份」時，他們實際上是在批准一個惡意的 OAuth 應用程式或流程。接著，攻擊者利用程式碼攔截（Code Interception）技術，在授權流程完成後，將回傳給使用者瀏覽器或本地端應用程式的 OAuth 授權碼攔截並傳輸到攻擊者的伺服器。一旦獲得授權碼，攻擊者就可以用它來請求長期有效的存取權杖，實現持久性的帳戶劫持。由於整個過程發生在 OAuth 框架內，並且利用了微軟生態系統中的合法應用程式（Azure CLI），它能夠有效地規避許多傳統的安全檢查。

Push Security表示，該攻擊只會針對每個受害者 IP位址觸發一次，因此即使合法目標返回到同一個釣魚頁面，他們也不會受到 Cloudflare Turnstile 檢查。這種針對單一 IP 的攻擊限制，是為了避免被雲端安全服務偵測或自動分析，凸顯了攻擊者在隱蔽性上的精心設計。這使得安全團隊難以進行重複測試和逆向工程分析。

研究人員建議防禦者尋找異常的 Azure CLI 登入活動，例如來自新 IP 位址的登錄，並監控舊的 Graph 範圍，攻擊者會故意利用這些範圍來逃避偵測。針對這種新型攻擊，組織必須採取多層次的防禦策略：

1. 行為分析： 實施嚴格的身份和存取管理（IAM）監控，特別是針對來自新地理位置或不尋常裝置的 Azure CLI 登入嘗試，並對所有 OAuth 授權應用程式進行審核。

2. 範圍（Scope）監控： 專門監控和限制 Azure/Microsoft Graph 應用程式的授權範圍，特別是那些請求過度或不常見的舊版 Graph 範圍。

3. 終端使用者教育： 提高使用者對社會工程和 OAuth 釣魚（Consent Phishing）的意識，強調在授予任何應用程式權限之前，必須仔細檢查應用程式名稱、發佈者和請求的權限列表。

4. 條件式存取： 實施嚴格的條件式存取策略，確保只有受信任的裝置和合規的網路才能存取 Azure CLI 的 OAuth 流程或使用權杖。

總而言之，ConsentFix 攻擊暴露了當前身份驗證和授權系統中存在的複雜威脅。組織必須將防禦重點從僅僅防範密碼竊取，擴展到對 OAuth 流程濫用和社會工程的高度警惕，以保護其關鍵的 Microsoft 帳戶和雲端資源。

資料來源：https://www.bleepingcomputer.com/news/security/new-consentfix-attack-hijacks-microsoft-accounts-via-azure-cli/