Ha azt hitted, hogy a jelszavad és a többfaktoros azonosítás (MFA) megvédi a Microsoft fiókodat, akkor most kapaszkodj meg! Egy friss, ravasz támadási módszer, amit ConsentFix-nek neveznek, képes kikerülni ezeket a biztonsági rétegeket úgy, hogy közben nem is kell ellopnia a jelszavadat. Ez engem személy szerint eléggé meglepett, mert azt gondolnánk, hogy az MFA már szinte legyőzhetetlen pajzs. De nem.
Mi az a ConsentFix támadás?
A ConsentFix egy új variánsa a már ismert ClickFix típusú támadásnak. A ClickFix lényege, hogy megtévesztő utasításokkal ráveszi az áldozatot arra, hogy parancsokat futtasson a gépén – például malware telepítésére vagy adatlopásra. Ezek az utasítások gyakran úgy néznek ki, mintha valamilyen hibát javítanának vagy éppen igazolnák, hogy nem robot vagy.
A ConsentFix azonban ennél sokkal alattomosabb: kihasználja az Azure CLI OAuth alkalmazást, hogy megszerezze az OAuth 2.0 engedélyezési kódokat. Ezekkel a kódokkal aztán hozzáférést szereznek az áldozat Microsoft fiókjához anélkül, hogy bármilyen jelszót vagy MFA-t meg kéne adniuk.
Hogyan működik az Azure CLI és miért veszélyes ez?
Az Azure CLI egy parancssoros eszköz, amit Microsoft fejlesztett ki, hogy egyszerűbbé tegye az Azure és Microsoft 365 erőforrások kezelését. Ehhez OAuth alapú hitelesítést használ – vagyis amikor bejelentkezel, kapsz egy hozzáférési tokent, amivel a parancssorból tudsz dolgozni.
A ConsentFix támadás során a bűnözők ráveszik az áldozatot arra, hogy végigmenjen ezen az OAuth hitelesítési folyamaton egy hamisított oldal segítségével. A végén pedig ellopják az engedélyezési kódot, amit aztán felhasználnak arra, hogy teljes hozzáférést szerezzenek a fiókhoz – mindezt úgy, hogy nem kell megadniuk sem jelszót, sem átugorniuk MFA-t.
A támadás menete lépésről lépésre
- Áldozat egy kompromittált weboldalra jut: Ez egy valódi oldal lehet, amelyet feltörtek vagy manipuláltak úgy, hogy jól szerepeljen a Google keresési találatok között bizonyos kulcsszavakra.
- Fake Cloudflare Turnstile CAPTCHA jelenik meg: Egy hamis CAPTCHA kér email címet – de nem akármilyet! Az oldal ellenőrzi ezt az emailt egy célzott listával szemben, így kiszűri a botokat vagy elemzőket.
- Kattints a „Sign in” gombra: Ez egy álcázott gomb, ami egy valódi Microsoft Azure CLI OAuth bejelentkező oldalra visz át új fülön.
- Bejelentkezés vagy fiókválasztás: Ha már be vagy jelentkezve Microsoft fiókodba (például aktív munkameneted van), csak ki kell választanod azt. Ha nem, akkor normál módon be kell jelentkezned.
- Átirányítás localhost oldalra: A sikeres bejelentkezés után a böngésző címsorában megjelenik egy URL az Azure CLI OAuth engedélyezési kóddal.
- Kód bemásolása a hamis oldalra: Az áldozat utasítás szerint bemásolja ezt az URL-t vissza a támadó által készített oldalra – ezzel átadja a kulcsot a támadónak.
- Támadó hozzáférést kap: Innentől kezdve teljes kontrollt szerez a Microsoft fiók felett anélkül, hogy valaha is látta volna vagy kérte volna a jelszót vagy MFA-t.
Milyen veszélyeket rejt ez?
Egy ilyen támadás után gyakorlatilag bármit megtehetnek helyetted: leveleket olvashatnak és küldhetnek ki helyetted, hozzáférhetnek céges dokumentumokhoz vagy akár pénzügyi adatokhoz is. És ami még ijesztőbb: ha már egyszer be vagy jelentkezve Microsoft fiókodba (mondjuk otthoni gépen), akkor még csak bejelentkezni sem kell – elég csak rákattintanod a gombra.
Mire figyeljünk védekezésként?
A kutatók szerint érdemes különösen figyelni az Azure CLI-vel kapcsolatos szokatlan aktivitásokra. Például ha olyan IP-címről történik bejelentkezés, amit nem ismersz vagy ha régi jogosultságokat használnak (legacy Graph scopes), amiket a támadók szándékosan alkalmaznak arra, hogy elkerüljék a biztonsági ellenőrzéseket.
Ezen túlmenően mindig legyél óvatos azokkal az oldalakkal és utasításokkal kapcsolatban, amelyek azt kérik tőled, hogy másold be URL-eket vagy futtass parancsokat – főleg ha azok váratlanul érkeznek és túl jól hangzanak ahhoz, hogy igazak legyenek (például „gyors hibaelhárítás” vagy „biztonsági ellenőrzés”).
Kik lehetnek célpontok?
A támadók célzott listákat használnak arra, hogy kiszűrjék azokat az e-maileket és felhasználókat, akik értékesek lehetnek számukra. Ezért nem mindenki találkozik ezzel a csalással – de ha céges Microsoft fiókot használsz vagy fontos adatokhoz férsz hozzá ezen keresztül, akkor különösen érdemes résen lenned.
Záró gondolatok
A ConsentFix jól mutatja nekünk azt is, mennyire kifinomultak tudnak lenni manapság ezek a támadások. Nem elég már csak erős jelszóval és MFA-val védekezni; fontos megérteni és felismerni azokat a trükköket is, amikkel becsapnak minket emberi tényezőként. A legjobb védelem továbbra is az óvatosság és a tudatosság – ne dőlj be annak semmilyen „gyors javításnak”, amit ismeretlen forrásból kapsz!
Szerinted te mennyire lennél képes kiszúrni egy ilyen csalást? Írd meg kommentben!
