🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Em dezembro, a equipe de pesquisa da Push Security descobriu e bloqueou uma nova técnica de ataque que chamamos de ConsentFix. Essa técnica fundiu a engenharia social no estilo ClickFix com o phishing de consentimento OAuth para sequestrar contas da Microsoft.
Vimos esse ataque sendo executado em uma grande rede de sites comprometidos nos quais os invasores estavam injetando a carga maliciosa, formando uma campanha em grande escala que foi detectada em vários estados de clientes.
Site de phishing “ConsentFix” detectado e bloqueado por Push.
ConsentFix obteve uma resposta incrível da comunidade em um espaço de tempo muito curto.
Em poucos dias, John Hammond compartilhou uma versão nova e aprimorada da técnica que ele desenvolveu em seu próprio laboratório, enquanto pesquisadores de segurança da Microsoft, Glueck Kanja e outros colaboradores individuais compartilhavam análises e recomendações.
Neste blog, estamos compartilhando alguns novos insights sobre a campanha, reunindo algumas das principais recomendações e recursos compartilhados pela comunidade, e ansiosos para saber o que o futuro reserva para esta nova técnica à medida que ela se torna rapidamente popular.
Porém, primeiro vamos recapitular rapidamente o que é ConsentFix e como ele funciona.
Consentimento Fix 101
ConsentFix é uma técnica de ataque que solicita à vítima que compartilhe um código de autorização OAuth com um invasor por meio de uma página de phishing. O invasor então insere esse código em um aplicativo de destino em seu próprio dispositivo para concluir o handshake de autorização e assumir o controle da conta.
Ao sequestrar o OAuth, os invasores podem efetivamente contornar os controles da camada de identidade, como senhas e MFA. Mesmo os métodos de autenticação resistentes ao phishing, como as chaves de acesso, não têm impacto nesse ataque, porque evitam completamente o processo de autenticação.
Os ataques de abuso de OAuth não são novos. Técnicas como phishing de consentimento e phishing de código de dispositivo já existem há algum tempo.
No entanto, eles se concentram principalmente em conectar sua conta principal do espaço de trabalho (por exemplo, Microsoft, Google, etc.) a um aplicativo fraudulento controlado por invasores. Mas isso está se tornando cada vez mais difícil nos principais ambientes de nuvem empresarial, como o Azure, devido a configurações padrão mais rígidas. Dito isso, o phishing de código de dispositivo ainda teve destaque nos recentes ataques de alto perfil do Salesforce em 2025.
Novo webinar: Escolha sua própria investigação
Confira o último webinar da Push Security em 11 de fevereiro, onde suas contribuições guiarão nossas investigações.
Junte-se ao CTO da Field, Mark Orlando, e enfrente ataques modernos como ClickFix, phishing de credenciais e outros ataques no navegador vistos à solta.
Registre-se agora
O que torna o ConsentFix tão perigoso?
Ao contrário dos ataques OAuth típicos, a nova abordagem ConsentFix permitiu ao invasor atingir diferentes tipos de aplicativos que eles normalmente buscam – com grandes implicações para detecção e resposta. Neste caso, o invasor:
Aplicativos próprios da Microsoft direcionados especificamente que não podem ser restringidos da mesma forma que aplicativos de terceiros e são pré-consentidos em cada locatário (o que significa que os usuários podem autenticá-los sem a aprovação do administrador).
Escopos herdados aproveitados que estão fora do escopo do log padrão para evitar a detecção e escopos direcionados com exclusões de política de acesso condicional conhecidas.
Isso significa que os controles padrão que você esperaria bloquear concessões maliciosas de OAuth não se aplicam, você pode não ter o registro ativado para detectá-lo se isso acontecer com você e, ainda por cima, as exclusões de políticas de acesso condicional significam que os controles esperados de muitas organizações não funcionam como esperado neste caso.
Recapitulação da campanha ConsentFix
Vamos recapitular rapidamente como a campanha ConsentFix foi implementada.
A vítima recebe uma página que exige que ela verifique se é humana, colando um URL na página de phishing.
Clicar no botão “Entrar” abre uma página de login legítima da Microsoft. Se o usuário já estiver conectado (o que provavelmente estará se estiver trabalhando em seu navegador normal), as informações da conta já estarão pré-preenchidas e ele não precisará se autenticar novamente.
Selecionar sua conta os redireciona para um URL de host local contendo um código de autorização OAuth – é isso que eles postam na página de phishing original para concluir o ataque.
Depois que o invasor obtiver a URL, ele poderá trocá-la por um token de acesso ou token de atualização para o aplicativo específico que está sendo direcionado — neste caso, a CLI do Azure.
O TL;DR é que o invasor está concluindo manualmente um fluxo de autorização que ocorre quando um usuário faz login na CLI do Azure — um cliente de linha de comando que fornece a capacidade de gerenciar facilmente seu ambiente Azure AD/Entra ID. Exceto que neste caso, eles estão pegando as informações da vítima para fazer login no dispositivo do invasor.
Análise do ataque ConsentFix
Detalhes da última campanha
Desde que compartilhamos nossa postagem no blog, tivemos vários
Vimos esse ataque sendo executado em uma grande rede de sites comprometidos nos quais os invasores estavam injetando a carga maliciosa, formando uma campanha em grande escala que foi detectada em vários estados de clientes.
Site de phishing “ConsentFix” detectado e bloqueado por Push.
ConsentFix obteve uma resposta incrível da comunidade em um espaço de tempo muito curto.
Em poucos dias, John Hammond compartilhou uma versão nova e aprimorada da técnica que ele desenvolveu em seu próprio laboratório, enquanto pesquisadores de segurança da Microsoft, Glueck Kanja e outros colaboradores individuais compartilhavam análises e recomendações.
Neste blog, estamos compartilhando alguns novos insights sobre a campanha, reunindo algumas das principais recomendações e recursos compartilhados pela comunidade, e ansiosos para saber o que o futuro reserva para esta nova técnica à medida que ela se torna rapidamente popular.
Porém, primeiro vamos recapitular rapidamente o que é ConsentFix e como ele funciona.
Consentimento Fix 101
ConsentFix é uma técnica de ataque que solicita à vítima que compartilhe um código de autorização OAuth com um invasor por meio de uma página de phishing. O invasor então insere esse código em um aplicativo de destino em seu próprio dispositivo para concluir o handshake de autorização e assumir o controle da conta.
Ao sequestrar o OAuth, os invasores podem efetivamente contornar os controles da camada de identidade, como senhas e MFA. Mesmo os métodos de autenticação resistentes ao phishing, como as chaves de acesso, não têm impacto nesse ataque, porque evitam completamente o processo de autenticação.
Os ataques de abuso de OAuth não são novos. Técnicas como phishing de consentimento e phishing de código de dispositivo já existem há algum tempo.
No entanto, eles se concentram principalmente em conectar sua conta principal do espaço de trabalho (por exemplo, Microsoft, Google, etc.) a um aplicativo fraudulento controlado por invasores. Mas isso está se tornando cada vez mais difícil nos principais ambientes de nuvem empresarial, como o Azure, devido a configurações padrão mais rígidas. Dito isso, o phishing de código de dispositivo ainda teve destaque nos recentes ataques de alto perfil do Salesforce em 2025.
Novo webinar: Escolha sua própria investigação
Confira o último webinar da Push Security em 11 de fevereiro, onde suas contribuições guiarão nossas investigações.
Junte-se ao CTO da Field, Mark Orlando, e enfrente ataques modernos como ClickFix, phishing de credenciais e outros ataques no navegador vistos à solta.
Registre-se agora
O que torna o ConsentFix tão perigoso?
Ao contrário dos ataques OAuth típicos, a nova abordagem ConsentFix permitiu ao invasor atingir diferentes tipos de aplicativos que eles normalmente buscam – com grandes implicações para detecção e resposta. Neste caso, o invasor:
Aplicativos próprios da Microsoft direcionados especificamente que não podem ser restringidos da mesma forma que aplicativos de terceiros e são pré-consentidos em cada locatário (o que significa que os usuários podem autenticá-los sem a aprovação do administrador).
Escopos herdados aproveitados que estão fora do escopo do log padrão para evitar a detecção e escopos direcionados com exclusões de política de acesso condicional conhecidas.
Isso significa que os controles padrão que você esperaria bloquear concessões maliciosas de OAuth não se aplicam, você pode não ter o registro ativado para detectá-lo se isso acontecer com você e, ainda por cima, as exclusões de políticas de acesso condicional significam que os controles esperados de muitas organizações não funcionam como esperado neste caso.
Recapitulação da campanha ConsentFix
Vamos recapitular rapidamente como a campanha ConsentFix foi implementada.
A vítima recebe uma página que exige que ela verifique se é humana, colando um URL na página de phishing.
Clicar no botão “Entrar” abre uma página de login legítima da Microsoft. Se o usuário já estiver conectado (o que provavelmente estará se estiver trabalhando em seu navegador normal), as informações da conta já estarão pré-preenchidas e ele não precisará se autenticar novamente.
Selecionar sua conta os redireciona para um URL de host local contendo um código de autorização OAuth – é isso que eles postam na página de phishing original para concluir o ataque.
Depois que o invasor obtiver a URL, ele poderá trocá-la por um token de acesso ou token de atualização para o aplicativo específico que está sendo direcionado — neste caso, a CLI do Azure.
O TL;DR é que o invasor está concluindo manualmente um fluxo de autorização que ocorre quando um usuário faz login na CLI do Azure — um cliente de linha de comando que fornece a capacidade de gerenciar facilmente seu ambiente Azure AD/Entra ID. Exceto que neste caso, eles estão pegando as informações da vítima para fazer login no dispositivo do invasor.
Análise do ataque ConsentFix
Detalhes da última campanha
Desde que compartilhamos nossa postagem no blog, tivemos vários
#samirnews #samir #news #boletimtec #análise #do #consentfix: #insights #do #novo #ataque #de #phishing #oauth
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário