OAuth izinli kimlik avını ClickFix stiliyle birleştiren, “ConsentFix” adı verilen yeni ve gelişmiş bir kimlik avı saldırısı tekniği, parolalara veya çok faktörlü kimlik doğrulamaya gerek kalmadan Microsoft hesaplarının tehlikeye atılmasını ister.
Saldırı, kurban hesaplarına yetkisiz erişim sağlamak için Azure CLI uygulamasını kullanıyor.
ConsentFix saldırısı tamamen tarayıcı bağlamında çalışıyor ve geleneksel güvenlik araçlarının tespitini zorlaştırıyor.
Mağdurlar, Google Arama sonuçları aracılığıyla kötü amaçlı veya güvenliği ihlal edilmiş web sitelerine yönlendiriliyor.
Bu siteler, hedeflenen kuruluşlar için e-posta adreslerini ve filtreleri toplayan sahte bir Cloudflare Turnike doğrulaması içerir.
Nitelikli bir e-posta girildikten sonra, kurbanlardan yeni bir sekmede meşru bir Microsoft oturum açma sayfası açan “Oturum Aç” düğmesini tıklamaları isteniyor.
Kullanıcılar zaten Microsoft hesaplarında oturum açmışsa açılır menüden hesaplarını seçerler.
Tarayıcı daha sonra kurbanın Microsoft hesabıyla ilişkili OAuth yetkilendirme kodunu içeren bir localhost URL’sine yönlendirir.
Kurbana bu localhost URL’sini kopyalayıp kimlik avı sayfasına geri yapıştırması talimatı verilir.
Bu basit kopyala-yapıştır eylemi, saldırgana Azure CLI aracılığıyla kurbanın Microsoft hesabına tam erişim sağlar.
Tüm parola tabanlı güvenlik önlemlerini ve geçiş anahtarları gibi kimlik avına karşı dayanıklı kimlik doğrulamayı etkili bir şekilde atlatmak.
Azure CLI Neden Savunmasız?
Azure CLI, Entra ID’de örtülü olarak güvenilen ve standart OAuth izin gereksinimlerinden muaf olan birinci taraf bir Microsoft uygulamasıdır.
Üçüncü taraf uygulamalardan farklı olarak Azure CLI, yönetici onayı olmadan izin isteyebilir ve engellenemez veya silinemez.
Bu onu sömürü için ideal bir hedef haline getiriyor. Kampanya, koşullu e-posta tabanlı hedefleme de dahil olmak üzere gelişmiş tespitten kaçınma yöntemleri kullanıyor.
Güvenliği ihlal edilmiş birden fazla sitede senkronize IP engelleme ve ziyaretçi IP adreslerine göre seçici JavaScript yükleme.
Bu teknikler güvenlik analizini önleyerek saldırının yalnızca URL tabanlı kontrollerle tanımlanmasını neredeyse imkansız hale getirir.
PushSecurity, kuruluşları genellikle sistem yöneticileri ve geliştiricilerle sınırlı olması gereken Microsoft Azure CLI oturum açma olaylarını izlemeye teşvik eder. Olağandışı etkileşimli Azure CLI oturum açma bilgileri araştırılmalıdır.
Güvenlik ekipleri ayrıca şüpheli Azure AD numaralandırma etkinliğini algılamak ve beklenmedik coğrafi konumlardan etkileşimli olmayan oturum açma işlemlerini izlemek için AADGraphActivityLogs’u etkinleştirmeli ve izlemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
