ConsentFixは、新たに確認された攻撃手法です。
いろいろな攻撃手法が出てきていますが、また新しいものが出てきたという感じです。
ConsentFixは、どのようなものなのでしょうか。
- ConsentFixはClickFixのバリエーション
ConsentFixは、最近よく見られる攻撃手法と類似している点がある攻撃手法です。
ClickFix/FileFix、AiTMフィッシング、そしてOAuth Consent Phishingと多くの類似点があります。
標的アプリ上のOAuthトークンをフィッシングする、ブラウザネイティブのClickFix攻撃といった表現ができそうです。 - ConsentFixによるフィッシング攻撃
ConsentFixを使ってフィッシング攻撃を実施するキャンペーンが確認されています。
手法そのものにおいては利用環境を限定するものではないのですが、確認されているキャンペーンではAzureがターゲットとなっています。 - ConsentFixの流れ
ConsentFixは次のようにして進行します。- ウェブページにアクセスする
被害者は、Google検索経由で悪意のある、あるいは侵害されたウェブページにアクセスします。
この攻撃を展開するいくつものウェブサイトがありますが、その多くは検索エンジンで簡単に見つけられる、正規の侵害されたウェブサイトです。 - Cloudflare Turnstileに入力する
被害者が侵害されたウェブサイトを訪問すると、ブラウザ画面にはCloudflare Turnstileが表示されます。
これは見た目は正規のものですが、偽のCloudflare Turnstileです。
偽のCloudflare Turnstileは、訪問者に有効なメールアドレスの入力を促します。 - 被害者の選別を受ける
攻撃機構には被害者の選別機能が搭載されています。
入力させたメールアドレスを確認し、セキュリティボット、アナリスト、価値の低いアカウントなどであると判定されると攻撃対象から除外されます。
単にメールアドレスで除外するだけでなく、除外前にその利用者のIPアドレスを取得し、対象外であることを示すリストに入れてしまいます。
これにより、一度価値のないものとして認識されたIPからの訪問者については、それ以上妥当性チェックに進むことがない状態になります。
これは強力な解析防止機能として機能しそうです。 - 指示される
攻撃対象となった人には、攻撃者からの指示が提示されます。
画面の指示に従って操作する雰囲気になります。
確認されている例では、Microsoftのサインインを行わせます。
被害者がMicrosoftのサインインを実施した利用状態にある場合、サインイン済みのアカウントを選択します。
被害者がMicrosoftのサインインを実施した利用状態にない場合、サインインを促します。
このどちらかが完了すると、画面には、Microsoftアカウントに関連付けられたコードを含むURLが表示されます。
そして被害者は指示に従って、そのURLをもとのページの記入欄に貼り付けます。 - 攻撃者にアクセスを許可する
ここまでの操作を指示に従って実施した場合、被害者のサインインしたアカウントの権限によるアクセスを攻撃者に提供した状態となります。
攻撃者は先ほど入手した情報があれば、被害者のMicrosoftアカウントを事実上制御できる状態になっています。
攻撃者はこれ以上にパスワードを入手したりMFAをどう対応するかなどを考慮する必要はありません。
すでにこの状態で被害者の権限を利用できる状態となっています。
- ウェブページにアクセスする
このConsentFixの手法は、Azure CLIアクセストークンを取得するために使用できるOAuth2.0認証コードを盗むものであるといえます。
すでにサインイン状態だった場合、認証情報を渡してしまった感覚を持ちにくい状態で簡単に攻撃が成立してしまいます。
正規のサイトを使用している際に、なんらかの操作を促されるケースに出会うことがあると思います。
それらのすべてがこの例のようになんらかの攻撃であるかもしれないと思わなければならないかというとそこはわかりません。
しかし、自分が実施しようとしている操作にどういった意味があるのかについては考えながら実施することは必要なのかもしれません。
ConsentFix: Analysing a browser-native ClickFix-style attack that hijacks OAuth consent grants
https://pushsecurity.com/blog/consentfix
| この記事をシェア |
|
|---|
表紙.png)
