Итак, пользователи Microsoft Azure, приготовьтесь. Потому что последний сверкающий эксплойт — это не про то, как вас заставить скачать подозрительный вложение или кликнуть на фальшивый счёт. Нет, ConsentFix v3 куда более коварная штука. Речь идёт об автоматизированном угоне ваших облачных аккаунтов, без паролей и даже с той самой модной многофакторной аутентификацией, которая, как вы думали, вас защищала.
Это не какая-то там теоретическая выкладка. Это происходит. Хакеры уже торгуют этим методом в тёмных уголках интернета. И построено это на фундаменте предыдущих итераций, каждая из которых становилась чуточку изящнее, чуточку незаметнее.
Скользкая дорожка OAuth
Смотрите, OAuth — это ведь задумывалось как хорошее. Он позволяет приложениям получать доступ к вашим данным, не раскрывая им ваши настоящие учётные данные. Представьте это как ключ от парковки для вашей цифровой жизни. Но, как и любой хороший инструмент, его можно превратить в оружие. ConsentFix v3 именно этим и занимается. Он злоупотребляет потоком авторизации OAuth 2.0 (standard handshake for granting permissions) — стандартным рукопожатием для выдачи разрешений — чтобы обманом заставить пользователей передать контроль.
Процесс, как подробно описала Push Security, начинается с разведки. Атакующие проверяют, присутствует ли Azure в схеме, а затем собирают информацию о сотрудниках. Имена, роли, электронные адреса — всё это боеприпасы для выдачи себя за другого и создания убедительных фишинговых приманок. Затем они организуют целую россыпь аккаунтов на таких сервисах, как Outlook, Tutanota и даже Pipedream, платформе бессерверных интеграций, чтобы дирижировать всей этой кашей.
Pipedream, а вот тут самое интересное, выступает в роли центральной нервной системы. Он получает украденный код авторизации, обменивает его на токен обновления (золотой билет в ваш аккаунт) и делает его доступным для атакующего. Всё автоматизировано. Всё очень эффективно, с их извращённой точки зрения.
Затем следует социальная инженерия. Фишинговая страница, оформленная так, чтобы выглядеть как настоящий вход в Microsoft/Azure, появляется на экране. Жертва, предположительно уже смягчённая персонализированным письмом и ссылкой на PDF-файл, размещённый на DocSend (потому что, ну, вы понимаете, доверие), получает запрос на запуск OAuth-потока. Это перенаправляет их на localhost URL, содержащий драгоценный код авторизации.
И вот тут начинается настоящее гениальное и ужасающее. Жертву затем обманом заставляют скопировать этот localhost URL и вставить его обратно в фишинговую страницу. Простое копирование-вставка. Или, во v2, перетаскивание. Это театр абсурда, где пользователь неосознанно передаёт ключи.
Фишинговые письма могут быть очень персонализированными, сгенерированными из собранных данных, и содержать вредоносные ссылки, встроенные в PDF-файл, размещённый на DocSend, для повышения доверия и обхода спам-фильтров.
Как только код возвращается в руки атакующего, он обменивается на токены. Эти токены предоставляют доступ к вашей среде Microsoft — вашей почте, вашим файлам, всему, что ваш аккаунт имеет право видеть. Это как цифровой отмычка, минующая все ваши тщательно выстроенные замки.
Чем это отличается от ClickFix?
ConsentFix v3 — это не просто очередная фишинговая попытка. Это автоматизация существующей уязвимости. Оригинальный ConsentFix (v1) был более ручным, полагаясь на то, что пользователи будут копировать и вставлять. ConsentFix v2 сгладил этот момент. V3 же выкручивает ручку громкости на максимум. Он использует платформы вроде Pipedream для автоматизации всего обмена кода авторизации на токены обновления. Это означает, что атакующие могут кардинально масштабировать свои операции. Вместо того чтобы нацеливаться на одного пользователя за раз, они потенциально могут автоматизировать это против многих, значительно увеличивая свой охват и влияние. Этот переход от ручной манипуляции к автоматизированной эксплуатации — определяющая и самая опасная характеристика v3.
Парадокс доверия
Вот где настоящий подвох. Эта атака использует собственные «первоклассные» приложения Microsoft. Это те приложения, которые сама Microsoft использует и которым доверяет. Они предварительно одобрены в Azure. Это означает, что атакующие не пытаются протащить неизвестное, вредоносное приложение. Они используют присущее системе доверие против неё самой. Это как если бы плохой парень использовал мастер-ключ здания, вместо того чтобы взламывать замок. Это делает обнаружение невероятно трудным для администраторов, поскольку запросы часто выглядят законно. Доверие, будучи эксплуатируемым, — мощное оружие.
Что реально можно сделать?
Администраторы Microsoft не совсем беспомощны, но и лёгким это не будет. Они могут реализовать привязку токенов к доверенным устройствам, что поможет гарантировать, что токены используются только с определённого оборудования. Правила поведенческого обнаружения могут выявлять подозрительную активность. Ограничения аутентификации приложений могут сократить список приложений, которым разрешён доступ к ресурсам.
Для рядового пользователя всё сводится к крайней бдительности. Ставьте под сомнение каждую ссылку, каждый запрос на авторизацию, независимо от того, насколько законным он кажется. Если что-то кажется подозрительным, скорее всего, так оно и есть. Даже если выглядит так, будто это от самой Microsoft.
Главный вопрос теперь — сколько киберпреступников фактически приняли эту v3-вариант. Он циркулирует, да. Но массовое внедрение — это следующий этап его угрозы. Придётся подождать и посмотреть.
🧬 Связанные материалы
- Читать далее: ФБР подсчитало $17,7 млрд убытков от кибермошенничества: крипто-короли, дипфейки с ИИ и кошмар вашего кошелька
- Читать далее: DarkSword: убийца iPhone теперь скрывается на легитимных сайтах
Часто задаваемые вопросы
Что такое ConsentFix v3? ConsentFix v3 — это автоматизированная техника атаки, которая злоупотребляет потоками авторизации OAuth 2.0 в Microsoft Azure для угона пользовательских аккаунтов без необходимости паролей, даже при включённом MFA.
Как ConsentFix v3 обходит MFA? Он не обходит MFA напрямую в традиционном смысле. Вместо этого он использует поток кода авторизации OAuth. Пользователей обманом заставляют одобрить доступ приложения через, казалось бы, законный процесс, фактически предоставляя атакующему токены доступа без необходимости реальных учётных данных пользователя или запросов MFA.
Находится ли мой аккаунт Azure под угрозой? Если ваша организация использует Microsoft Azure и связанные с ним сервисы, вы являетесь потенциальной целью. Реальный риск зависит от конкретных конфигураций и мер безопасности, действующих в вашей среде. Бдительность — ключ ко всем пользователям.
