Forscher von Push Security haben eine neue Variante des ClickFix-Angriffs beobachtet, die „OAuth-Zustimmungs-Phishing mit einer Benutzeraufforderung im Stil von ClickFix kombiniert, die zur Kompromittierung des Kontos führt“.
Die Technik, die die Forscher „ConsentFix“ nennen, verleitet die Opfer dazu, eine localhost-URL mit einem Autorisierungs-Token zu kopieren und in eine Phishing-Seite einzufügen.
„Der Autorisierungscodefluss ist ein OAuth 2.0-Protokoll für Webanwendungen, um die Erlaubnis eines Benutzers für den Zugriff auf geschützte Ressourcen einzuholen“, erklären die Forscher.
„Bei der Verwendung des Autorisierungscodeflusses zum Verbinden einer App wird der Code mit einem OAuth-Geheimnis kombiniert, das die App im Austausch für ein Token (den wertvollen Teil) besitzt. Einige Apps können jedoch kein Geheimnis schützen – zum Beispiel Apps, die auf Ihrem Mobilgerät oder Desktop laufen. In diesem Fall reicht der Code allein aus, um ein OAuth-Token zu generieren, ohne das Geheimnis – und genau das wird hier ausgenutzt.“
Bei den von Push Security beobachteten Angriffen missbrauchten die Bedrohungsakteure die Azure CLI OAuth-App, um Microsoft-Konten anzugreifen.
„Im Wesentlichen bringt der Angreifer das Opfer dazu, sich bei Azure CLI anzumelden, indem er einen OAuth-Autorisierungscode generiert, der in einer Localhost-URL sichtbar ist, und diese URL (einschließlich des Codes) in eine vom Angreifer kontrollierte Seite einfügt“, schreiben die Forscher. „Dies stellt dann eine OAuth-Verbindung zwischen dem Microsoft-Konto des Opfers und der Azure-CLI-Instanz des Angreifers her
Push Security weist darauf hin, dass diese Angriffe sehr schwer abzuwehren sind, da sie sich auf legitime Tools und Social-Engineering-Taktiken stützen:
-
„Der Angriff findet vollständig innerhalb des Browserkontextes statt, wodurch eine der wichtigsten Erkennungsmöglichkeiten für ClickFix entfällt (da es den Endpunkt nicht berührt).
-
„Die Auslieferung des Köders über einen Google-Suchangriff umgeht die E-Mail-basierten Anti-Phishing-Kontrollen vollständig.
-
„Wenn man auf eine Erstanbieter-App wie Azure CLI abzielt, bedeutet dies, dass viele der Kontrollmechanismen, die für die Integration von Drittanbieter-Apps zur Verfügung stehen, nicht anwendbar sind, was es sehr viel schwieriger macht, diesen Angriff zu verhindern.
-
„Da keine Anmeldung erforderlich ist, haben Phishing-resistente Authentifizierungskontrollen wie Passkeys keinen Einfluss auf diesen Angriff-
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Forschung von Push Security über eine neue Variante von ClickFix-Angriffen.