ClickFix saldırısının ‘ConsentFix’ olarak adlandırılan yeni bir varyasyonu, Azure CLI OAuth uygulamasını kötüye kullanarak bir parolaya gerek kalmadan Microsoft hesaplarını ele geçiriyor veya çok faktörlü kimlik doğrulama (MFA) doğrulamalarını atlıyor.
ClickFix saldırısı, kullanıcıları kötü amaçlı yazılım yüklemek veya verileri çalmak için bilgisayarlarında komut çalıştırmaları konusunda kandırmaya çalışan bir sosyal mühendislik tekniğidir. Genellikle bir hatayı düzeltiyormuş gibi davranan veya kendilerinin bir bot değil, insan olduğunu doğrulayan sahte talimatlar kullanırlar.
Bu yeni ConsentFix çeşidi, siber güvenlik firması Push Security tarafından keşfedildi; bu, ConsentFix tekniğinin bir Azure CLI erişim belirtecini elde etmek için kullanılabilecek OAuth 2.0 yetkilendirme kodlarını çaldığını açıklıyor.
Azure CLI, kullanıcıların yerel makinelerinden Azure ve Microsoft 365 kaynaklarını doğrulamasına ve yönetmesine olanak tanıyan bir OAuth akışı kullanan bir Microsoft komut satırı uygulamasıdır. Bu kampanyada saldırganlar, kurbanları Azure CLI OAuth akışını tamamlamaları için kandırıyor ve ardından ortaya çıkan yetkilendirme kodunu çalıyor; bu kodu, kullanıcının şifresine veya MFA’ya ihtiyaç duymadan tam hesap erişimi için değiştiriyorlar.
ConsentFix saldırısı
ConsentFix saldırısı, kurbanın belirli terimler için Google Arama sonuçlarında üst sıralarda yer alan, güvenliği ihlal edilmiş, meşru bir web sitesine ulaşmasıyla başlar.
Ziyaretçiye, geçerli bir iş e-posta adresi isteyen sahte bir Cloudflare Turnike CAPTCHA widget’ı gösteriliyor. Saldırganın komut dosyası, bu adresi hedeflenen hedeflerin listesiyle karşılaştırarak botları, analistleri ve hedef listesinde olmayan herkesi filtreler.
Kaynak: Push Güvenliği
Bu kontrolü geçen kullanıcılara, ClickFix etkileşim modellerine benzeyen ve mağdura insan olduklarını doğrulaması için talimatlar sağlayan bir sayfa gösteriliyor.
Bu talimatlar, yeni bir sekmede meşru bir Microsoft URL’si açan sayfadaki ‘Oturum aç’ düğmesini tıklamak içindir.
Kaynak: Push Güvenliği
Ancak bu, tipik Microsoft oturum açma isteminiz değil, Azure CLI OAuth erişim kodu oluşturmak için kullanılan bir Azure oturum açma sayfasıdır.
Kaynak: BleepingComputer
Kullanıcı zaten Microsoft hesabında oturum açtıysa yalnızca hesabını seçmesi gerekir; aksi takdirde Microsoft’un gerçek oturum açma sayfasında normal şekilde kimlik doğrulaması yaparlar.
Bu gerçekleştiğinde, Microsoft onları bir localhost sayfasına yönlendirir ve tarayıcı adres çubuğu artık kullanıcının hesabına bağlı bir Azure CLI OAuth yetkilendirme kodunu içeren bir URL görüntüler.
Kimlik avı işlemi, kullanıcı URL’yi sağlanan talimatlara uygun şekilde kötü amaçlı sayfaya yapıştırdığında tamamlanır ve saldırganın Azure CLI OAuth uygulaması aracılığıyla Microsoft hesabına erişmesine izin verilir.
Push, “Adımlar tamamlandıktan sonra kurban, saldırganın Azure CLI aracılığıyla Microsoft hesabına etkin bir şekilde erişmesine izin verdi” diye açıklıyor.
“Bu noktada saldırgan, kurbanın Microsoft hesabı üzerinde etkili bir kontrole sahip, ancak hiçbir zaman şifre hırsızlığı yapmasına veya bir MFA kontrolünden geçmesine gerek kalmıyor.”
“Aslında, kullanıcı Microsoft hesabında zaten oturum açmışsa (yani etkin bir oturumu varsa), hiçbir oturum açmaya gerek yoktur.”
Push, saldırının her kurban IP adresi için yalnızca bir kez tetiklendiğini, dolayısıyla geçerli hedeflerin aynı kimlik avı sayfasına dönseler bile Cloudflare Turnike kontrolünü alamayacaklarını söylüyor.
Araştırmacılar, savunucuların yeni IP adreslerinden oturum açma gibi olağandışı Azure CLI oturum açma etkinliklerini aradıklarını ve saldırganların tespitten kaçınmak için kasıtlı olarak yararlandıkları eski Graph kapsamlarını izlediklerini öne sürüyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.