BEDROHUNG
In Hackerforen kursiert eine weiterentwickelte Variante der Angriffsmethode ConsentFix. Dabei handelt es sich um eine neue Variante von ClickFix- und OAuth-Phishing. Die neue Version zielt auf Microsoft-Azure- bzw. Entra-ID-Umgebungen und missbraucht den OAuth2-Authorization-Code-Flow. Gegenüber dem ursprünglichen Ablauf erweitert v3 die Angriffskette um zusätzliche Automatisierung und Skalierbarkeit.
Bei der ursprünglichen Methode brachten Angreifer ihre Opfer dazu, eine localhost-URL mit einem OAuth-Autorisierungscode aus einem legitimen Microsoft-Loginprozess in eine Phishing-Seite einzufügen. Diesen Code tauschten sie anschließend gegen Access- und Refresh-Tokens und erhielten so Zugriff auf das Konto, ohne Passwort oder MFA-Code abzugreifen.
ConsentFix v3 automatisiert diesen Ablauf nun durchgängig. Zunächst prüfen die Angreifer gültige Azure-Tenant-IDs und sammeln Mitarbeiterdaten wie Namen, Rollen und E-Mail-Adressen. Anschließend kommen Cloudflare Pages für das Phishing, DocSend für glaubwürdig wirkende PDF-Links und Pipedream als Automatisierungsplattform zum Einsatz. Pipedream tauscht den entwendeten Autorisierungscode über eine Microsoft-API gegen Tokens ein und stellt diese dem Angreifer bereit.
Nach erfolgreichem Angriff lassen sich die Tokens in Tools wie Specter Portal importieren, um auf E-Mails, Dateien und weitere Dienste zuzugreifen, soweit die Berechtigungen reichen. Da der Login über legitime Microsoft-Konten läuft, greifen klassische Kontrollen gegen Passwort- oder MFA-Phishing nicht. Push Security empfiehlt Token Binding für vertrauenswürdige Geräte, verhaltensbasierte Erkennung sowie Einschränkungen für die App-Authentifizierung.
Was jetzt zu tun ist:
- ungewöhnliche Azure-Logins prüfen
- Conditional Access für betroffene Apps härten
Token Binding, App-Authentifizierungsrestriktionen und verhaltensbasierte
Erkennung prüfen
PRÄVENTION & DETEKTION
Phishing‑Angriffssimulationen von ConSecur helfen, Mitarbeitende gezielt für Betrugsversuche zu sensibilisieren und menschliche Schwachstellen frühzeitig zu erkennen, bevor es zu Datenmissbrauch kommt.
Phishing-Simulationen stärken nachhaltig die digitale Sicherheitsabwehr von Unternehmen gegen Cyberangriffe.
Autor: Michael Niers
