🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo tipo de ataque, denominado ConsentFix v3, tem circulado em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure.
A primeira versão do ConsentFix foi apresentada pela Push Security em dezembro passado como uma variação do ClickFix para ataques de phishing OAuth, que engana as vÃtimas para que concluam um fluxo de login legÃtimo da Microsoft por meio da CLI do Azure.
Usando engenharia social, o invasor enganou as vÃtimas fazendo-as colar uma URL de host local contendo um código de autorização OAuth que pode ser usado para obter tokens e sequestrar a conta sem senhas, apesar da autenticação multifator (MFA).
O ConsentFix v2 foi desenvolvido pelo pesquisador John Hammond como uma versão refinada do original do Push, substituindo copiar/colar manual por arrastar e soltar da URL do host local, tornando o fluxo de phishing mais suave e convincente.
O ConsentFix v3 preserva a ideia central de abusar do fluxo de código de autorização OAuth2 e direcionar aplicativos Microsoft de terceiros que são pré-confiáveis e pré-consentidos.
No entanto, traz uma melhoria ao incorporar automação e escalabilidade.
Fluxo de ataque ConsentFix v3
De acordo com informações recuperadas de fóruns de hackers onde a nova técnica é promovida, o ataque começa verificando a presença do Azure no ambiente alvo, verificando IDs de locatário válidos.
Isso é seguido pela coleta de detalhes dos funcionários, como nomes, funções e endereços de e-mail para dar suporte à representação.
Em seguida, os invasores criam várias contas em serviços como Outlook, Tutanota, Cloudflare, DocSend, Hunter.io e Pipedream para oferecer suporte a operações de phishing, hospedagem, coleta de dados e exfiltração.
Os pesquisadores da Push Security explicam que o Pipedream, uma plataforma de integração sem servidor gratuita, desempenha um papel central na automatização do ataque, cumprindo três funções crÃticas:
É o endpoint do webhook que recebe o código de autorização da vÃtima
É o mecanismo de automação que troca imediatamente esse código por um token de atualização por meio da API da Microsoft
É o coletor central que nos disponibiliza os tokens capturados em tempo real.
Criando o modelo PipedreamFonte: Push Security
Na próxima fase, o invasor implanta uma página de phishing hospedada no Cloudflare Pages que imita uma interface legÃtima da Microsoft/Azure e inicia um fluxo OAuth real por meio do endpoint de login da Microsoft.
Quando a vÃtima interage com a página, ela é redirecionada para um URL de host local contendo um código de autorização OAuth, que é induzido a colar ou arrastar de volta para a página de phishing.
Isso habilita o pipeline de exfiltração de dados, no qual a página envia a URL capturada para um webhook do Pipedream, e a automação de backend troca imediatamente o código de autorização por tokens.
Os e-mails de phishing podem ser altamente personalizados, gerados a partir de dados coletados e apresentar links maliciosos incorporados em um PDF hospedado no DocSend para melhorar a credibilidade e contornar a filtragem de spam.
Gerando e-mails de phishing personalizadosFonte: Push Security
Na fase pós-exploração, os tokens obtidos são importados para o Spectre Portal, permitindo ao invasor interagir com ambientes Microsoft comprometidos e acessar recursos permitidos pelo token, como e-mail, arquivos e outros serviços vinculados à conta.
A Push Security observou que os testes do ConsentFix v3 dependiam de suas contas pessoais da Microsoft; como resultado, é difÃcil avaliar plenamente o impacto, que depende de permissões, serviços e configurações de inquilinos, entre outros fatores.
Em termos de mitigação dos riscos do ConsentFix, Push observa que o esforço é complicado porque a confiança em aplicativos primários é arquitetônica e que a famÃlia de IDs de cliente (FOCI), aplicativos da Microsoft que compartilham permissões e atualizam tokens, é útil de outra forma.
No entanto, ainda existem etapas que os administradores podem seguir, como aplicar vinculação de token a dispositivos confiáveis, configurar regras de detecção comportamental e aplicar restrições de autenticação de aplicativos.
Embora os ataques ConsentFix sejam usados em campanhas reais, não está claro se a variante v3 já ganhou alguma força entre os cibercriminosos.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A primeira versão do ConsentFix foi apresentada pela Push Security em dezembro passado como uma variação do ClickFix para ataques de phishing OAuth, que engana as vÃtimas para que concluam um fluxo de login legÃtimo da Microsoft por meio da CLI do Azure.
Usando engenharia social, o invasor enganou as vÃtimas fazendo-as colar uma URL de host local contendo um código de autorização OAuth que pode ser usado para obter tokens e sequestrar a conta sem senhas, apesar da autenticação multifator (MFA).
O ConsentFix v2 foi desenvolvido pelo pesquisador John Hammond como uma versão refinada do original do Push, substituindo copiar/colar manual por arrastar e soltar da URL do host local, tornando o fluxo de phishing mais suave e convincente.
O ConsentFix v3 preserva a ideia central de abusar do fluxo de código de autorização OAuth2 e direcionar aplicativos Microsoft de terceiros que são pré-confiáveis e pré-consentidos.
No entanto, traz uma melhoria ao incorporar automação e escalabilidade.
Fluxo de ataque ConsentFix v3
De acordo com informações recuperadas de fóruns de hackers onde a nova técnica é promovida, o ataque começa verificando a presença do Azure no ambiente alvo, verificando IDs de locatário válidos.
Isso é seguido pela coleta de detalhes dos funcionários, como nomes, funções e endereços de e-mail para dar suporte à representação.
Em seguida, os invasores criam várias contas em serviços como Outlook, Tutanota, Cloudflare, DocSend, Hunter.io e Pipedream para oferecer suporte a operações de phishing, hospedagem, coleta de dados e exfiltração.
Os pesquisadores da Push Security explicam que o Pipedream, uma plataforma de integração sem servidor gratuita, desempenha um papel central na automatização do ataque, cumprindo três funções crÃticas:
É o endpoint do webhook que recebe o código de autorização da vÃtima
É o mecanismo de automação que troca imediatamente esse código por um token de atualização por meio da API da Microsoft
É o coletor central que nos disponibiliza os tokens capturados em tempo real.
Criando o modelo PipedreamFonte: Push Security
Na próxima fase, o invasor implanta uma página de phishing hospedada no Cloudflare Pages que imita uma interface legÃtima da Microsoft/Azure e inicia um fluxo OAuth real por meio do endpoint de login da Microsoft.
Quando a vÃtima interage com a página, ela é redirecionada para um URL de host local contendo um código de autorização OAuth, que é induzido a colar ou arrastar de volta para a página de phishing.
Isso habilita o pipeline de exfiltração de dados, no qual a página envia a URL capturada para um webhook do Pipedream, e a automação de backend troca imediatamente o código de autorização por tokens.
Os e-mails de phishing podem ser altamente personalizados, gerados a partir de dados coletados e apresentar links maliciosos incorporados em um PDF hospedado no DocSend para melhorar a credibilidade e contornar a filtragem de spam.
Gerando e-mails de phishing personalizadosFonte: Push Security
Na fase pós-exploração, os tokens obtidos são importados para o Spectre Portal, permitindo ao invasor interagir com ambientes Microsoft comprometidos e acessar recursos permitidos pelo token, como e-mail, arquivos e outros serviços vinculados à conta.
A Push Security observou que os testes do ConsentFix v3 dependiam de suas contas pessoais da Microsoft; como resultado, é difÃcil avaliar plenamente o impacto, que depende de permissões, serviços e configurações de inquilinos, entre outros fatores.
Em termos de mitigação dos riscos do ConsentFix, Push observa que o esforço é complicado porque a confiança em aplicativos primários é arquitetônica e que a famÃlia de IDs de cliente (FOCI), aplicativos da Microsoft que compartilham permissões e atualizam tokens, é útil de outra forma.
No entanto, ainda existem etapas que os administradores podem seguir, como aplicar vinculação de token a dispositivos confiáveis, configurar regras de detecção comportamental e aplicar restrições de autenticação de aplicativos.
Embora os ataques ConsentFix sejam usados em campanhas reais, não está claro se a variante v3 já ganhou alguma força entre os cibercriminosos.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #ataques #consentfix #v3 #visam #o #azure #com #abuso #automatizado #de #oauth
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário