HackerangriffeCloud-SicherheitPhishing

ConsentFix v3: Neue OAuth-Attacken automatisieren Missbrauch von Microsoft Azure

Von CyberDeutsch Redaktion
ConsentFix v3: Neue OAuth-Attacken automatisieren Missbrauch von Microsoft Azure
Zusammenfassung

Eine neue Angriffsmethode namens ConsentFix v3 bedroht Nutzer von Microsoft Azure durch automatisierte OAuth-Missbrauch-Techniken. Die Attacke basiert auf einer Weiterentwicklung von Phishing-Verfahren, die erstmals im Dezember vorgestellt wurden und Opfer dazu verleiten, sich über die Azure CLI anzumelden – ohne dabei Passwörter abfangen zu müssen, selbst wenn Multi-Faktor-Authentifizierung aktiviert ist. ConsentFix v3 automatisiert und skaliert diesen Prozess erheblich: Angreifer verifizieren zunächst Azure-Umgebungen, sammeln Mitarbeiterdaten für personalisierte Phishing-Kampagnen und nutzen kostenlose Services wie Pipedream, Cloudflare und DocSend zur Orchestrierung ihrer Angriffe. Deutsche Unternehmen und Behörden sind potenziell stark betroffen, da die Attacke auf häufig genutzten Microsoft-Anwendungen abzielt und es Angreifern ermöglicht, auf E-Mails, Dateien und weitere ressourcengebundene Dienste zuzugreifen. Besonders besorgniserregend ist die hohe Personalisierungsmöglichkeit der Phishing-E-Mails und die Umgehung von Spam-Filtern durch PDF-Hosting. Während bisherige Versionen noch manuelle Schritte erforderten, macht die Automatisierung ConsentFix v3 zu einer deutlich skalierbarer Bedrohung für Organisationen jeder Größe.

Die Entwicklung von ConsentFix zeigt ein klassisches Muster in der Cyberkriminalität: Kontinuierliche Optimierung und Automatisierung. Die ursprüngliche Variante, 2023 von Push Security präsentiert, war noch relativ manuell und erforderte vom Opfer, einen localhost-URL mit OAuth-Autorisierungscode zu kopieren und einzufügen. ConsentFix v2, entwickelt vom Sicherheitsforscher John Hammond, vereinfachte den Prozess durch Drag-and-Drop-Funktionalität. Nun bringt v3 eine vollständige Automatisierung mit sich.

Die Attacke funktioniert nach einem ausgefeilten Schema: Zunächst wird die Präsenz von Azure in der Zielumgebung überprüft, indem Tenant-IDs validiert werden. Anschließend sammeln die Angreifer Mitarbeiterdaten – Namen, Positionen, E-Mail-Adressen – um eine Impersonation vorzubereiten. Ein entscheidender Schritt ist die Eröffnung mehrerer Konten über verschiedene Dienste: Outlook, Tutanota, Cloudflare, DocSend, Hunter.io und das serverlose Integrations-Plattform Pipedream.

Pipedream spielt eine Schlüsselrolle in der Automatisierung. Die Plattform, kostenlos nutzbar, koordiniert die gesamte Angriffskette und automatisiert die Tokenaustauschmechanismen. Die Phishing-Seite wird auf Cloudflare Pages gehostet und täuscht ein legitimes Microsoft/Azure-Interface vor. Wenn das Opfer interagiert, wird es zu einer localhost-URL mit OAuth-Autorisierungscode weitergeleitet – und getäuscht, diese zurück einzufügen. Die Seite sendet die URL an einen Pipedream-Webhook, der automatisch den Code gegen Token austauscht.

Die Phishing-E-Mails können hochpersonalisiert sein, mit PDF-Anhängen von DocSend, um Spam-Filter zu umgehen. Nach der erfolgreichen Kompromittierung werden die Token in Specter Portal importiert, was Angreifern Zugriff auf E-Mails, Dateien und weitere Ressourcen des Opfers ermöglicht.

Die Mitigation ist komplex: Microsoft-Vertrauen in First-Party-Apps ist architekturbedingt. Push Security empfiehlt Token-Bindung auf vertrauenswürdigen Geräten, Behavioral-Detection-Regeln und App-Authentifizierungsbeschränkungen. Für deutsche Unternehmen ist eine Überprüfung der Azure AD-Konfiguration sowie eine Sensibilisierung der Mitarbeiter essentiell. BSI-Empfehlungen zur Zero-Trust-Architektur gewinnen hier zusätzlich an Bedeutung.

Ähnliche Artikel