ConsentFix debrief: Insights from the new OAuth phishing attack

ConsentFix เป็นเทคนิคฟิชชิ่งแบบ OAuth รูปแบบใหม่ที่ถูกค้นพบโดยทีมวิจัย Push Security ในเดือนธันวาคม โดยใช้การหลอกลวงทางสังคมแบบ ClickFix ผสมกับการฟิชชิ่งยินยอม OAuth เพื่อเข้ายึดบัญชี Microsoft การโจมตีนี้ใช้ประโยชน์จากกระบวนการยืนยันตัวตนบนเบราว์เซอร์เพื่อเข้าควบคุมบัญชี Microsoft โดยหลบเลี่ยงการป้องกันด้วยรหัสผ่านและ MFA และยังคงมีผลแม้กับวิธีการยืนยันตัวตนที่ทนต่อการฟิชชิ่งอย่าง Passkeys บทความนี้ให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการโจมตีอย่างต่อเนื่อง การวิจัยจากชุมชน และเทคนิคของแฮกเกอร์ที่พัฒนาขึ้น

Severity: วิกฤต

System Impact:

• บัญชี Microsoft
• Azure CLI
• Azure AD / Entra ID
• Microsoft Azure PowerShell
• Microsoft Teams
• Microsoft Whiteboard Client
• Microsoft Flow Mobile PROD-GCCH-CN
• Enterprise Roaming and Backup
• Visual Studio
• Aadrm Admin Powershell
• Microsoft SharePoint Online Management Shell
• Microsoft Power Query for Excel
• Visual Studio Code

Technical Attack Steps:

1. เหยื่อจะได้รับหน้าเว็บฟิชชิ่งที่ต้องการให้ยืนยันตัวตนว่าเป็นมนุษย์ โดยการวาง URL ลงในหน้าฟิชชิ่ง
2. การคลิกปุ่ม ‘Sign In’ จะเปิดหน้าเข้าสู่ระบบ Microsoft ที่ถูกต้องตามกฎหมาย
3. หากผู้ใช้เข้าสู่ระบบอยู่แล้ว ข้อมูลบัญชีจะถูกกรอกล่วงหน้าโดยอัตโนมัติ
4. เมื่อเลือกบัญชีแล้ว ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยัง URL โลคัลโฮสต์ที่มีรหัสการอนุญาต OAuth
5. เหยื่อจะคัดลอกรหัสการอนุญาตนี้และนำไปวางลงในหน้าฟิชชิ่งเดิม
6. ผู้โจมตีจะนำรหัสที่ได้ไปแลกเปลี่ยนเป็น Access Token หรือ Refresh Token สำหรับแอปพลิเคชันเป้าหมาย (เช่น Azure CLI) เพื่อเข้าควบคุมบัญชีบนอุปกรณ์ของผู้โจมตี

Recommendations:

Short Term:

• ตรวจสอบให้แน่ใจว่าได้เปิดใช้งานการบันทึกสำหรับ AADGraphActivityLogs ที่ถูกยกเลิกแล้ว
• ค้นหาบันทึกสำหรับ Application IDs ที่ระบุ รวมถึง Resource IDs สำหรับ Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) และ Microsoft Intune Checkin (26a4ae64-5862-427f-a9b0-044e62572a4f)
• สร้าง Service Principals สำหรับแอปพลิเคชันที่เสี่ยงต่อการถูกโจมตี และจำกัดผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงแอปพลิเคชันเหล่านั้น เพื่อลดพื้นผิวการโจมตี
• บล็อกการเข้าถึงเครื่องมือ CLI ผ่านนโยบาย Conditional Access และออกข้อยกเว้นสำหรับผู้ใช้/กลุ่มที่ได้รับอนุญาต

Long Term:

• เฝ้าระวังเบราว์เซอร์เป็นพื้นผิวการตรวจจับภัยคุกคาม โดยใช้การควบคุมการตรวจจับภัยคุกคามตามพฤติกรรม ซึ่งขับเคลื่อนโดยข้อมูล Telemetry ของเบราว์เซอร์อย่างละเอียด เพื่อให้สามารถตรวจจับและบล็อกการโจมตีที่เกิดขึ้นในเบราว์เซอร์แบบเรียลไทม์ (รวมถึง Zero-day browser threats)
• ค้นหาและแก้ไขช่องโหว่เชิงรุกในแอปพลิเคชันที่พนักงานใช้งาน เช่น Ghost Logins, ช่องว่าง SSO Coverage, ช่องว่าง MFA และรหัสผ่านที่อ่อนแอ เพื่อเสริมความแข็งแกร่งของพื้นผิวการโจมตีด้านตัวตน

Source: https://www.bleepingcomputer.com/news/security/consentfix-debrief-insights-from-the-new-oauth-phishing-attack/