ConsentFix wurde erstmals im vergangenen Dezember von Push Security vorgestellt – als Variante von ClickFix für OAuth-Phishing. Das Grundprinzip: Opfer schließen über die Azure CLI einen echten Microsoft-Anmeldevorgang ab und werden per Social Engineering dazu gebracht, eine localhost-URL mit einem OAuth-Autorisierungscode einzufügen. Aus diesem Code lassen sich Tokens gewinnen, mit denen das Konto ohne Passwort und trotz MFA übernommen werden kann. Eine zweite Version stammt vom Forscher John Hammond, der das manuelle Kopieren und Einfügen durch Drag-and-drop der localhost-URL ersetzte und den Phishing-Ablauf damit flüssiger und überzeugender gestaltete.

ConsentFix v3 behält die Ausnutzung des OAuth2-Authorization-Code-Flows und das Anvisieren vorab vertrauter Microsoft-Erstanbieter-Apps bei, ergänzt das Konzept aber um Automatisierung und Skalierbarkeit. Nach Informationen aus den Hackerforen, in denen die Technik beworben wird, prüft der Angriff zunächst über gültige Tenant-IDs, ob Azure in der Zielumgebung vorhanden ist. Anschließend werden Mitarbeiterdaten wie Namen, Rollen und E-Mail-Adressen zusammengetragen, um eine Identitätstäuschung zu ermöglichen.

Im nächsten Schritt legen die Angreifer Konten bei Diensten wie Outlook, Tutanota, Cloudflare, DocSend, Hunter.io und Pipedream an, die Phishing, Hosting, Datensammlung und Exfiltration unterstützen. Nach Angaben der Forscher von Push Security spielt dabei Pipedream – eine kostenlos nutzbare, serverlose Integrationsplattform – eine zentrale Rolle bei der Automatisierung des Angriffs.

Anschließend wird eine Phishing-Seite auf Cloudflare Pages bereitgestellt, die eine legitime Microsoft- bzw. Azure-Oberfläche nachahmt und über Microsofts Login-Endpunkt einen echten OAuth-Flow startet. Interagiert das Opfer mit der Seite, wird es auf eine localhost-URL mit einem OAuth-Autorisierungscode umgeleitet, die es zurück in die Phishing-Seite einfügen oder ziehen soll. Die Seite sendet die erfasste URL an einen Pipedream-Webhook, woraufhin die Backend-Automatisierung den Code sofort gegen Tokens eintauscht.

Die Phishing-Mails können stark personalisiert sein, aus gesammelten Daten erzeugt werden und schädliche Links innerhalb eines auf DocSend gehosteten PDFs einbetten, um glaubwürdiger zu wirken und Spamfilter zu umgehen. In der Phase nach der Kompromittierung werden die erbeuteten Tokens in das Specter Portal importiert, sodass die Angreifer mit den kompromittierten Microsoft-Umgebungen interagieren und auf die durch das Token erlaubten Ressourcen wie E-Mail, Dateien und weitere kontogebundene Dienste zugreifen können.

Push Security weist darauf hin, dass die eigenen Tests von ConsentFix v3 auf privaten Microsoft-Konten beruhten und sich die Auswirkungen daher nur schwer vollständig abschätzen lassen – sie hängen unter anderem von Berechtigungen, Diensten und Tenant-Einstellungen ab. Eine Eindämmung sei kompliziert, weil das Vertrauen in Erstanbieter-Apps architektonisch verankert ist und die Family of Client IDs (FOCI) – Microsoft-Anwendungen, die Berechtigungen und Refresh-Tokens teilen – ansonsten durchaus nützlich ist. Administratoren können dennoch gegensteuern, etwa durch Token-Bindung an vertrauenswürdige Geräte, verhaltensbasierte Erkennungsregeln und Einschränkungen bei der App-Authentifizierung. Ob die v3-Variante unter Cyberkriminellen bereits Verbreitung gefunden hat, ist unklar.