Il Nuovo Schema “ConsentFix”: Un Attacco Social Engineering per Dirottare gli Account Microsoft

Un nuovo schema chiamato “ConsentFix” sta ampliando le capacità del già noto attacco social ClickFix, consentendo di dirottare gli account Microsoft senza password o autenticazione a più fattori. Gli aggressori utilizzano un’applicazione Azure CLI legittima e le funzionalità di autenticazione OAuth, trasformando il processo di accesso standard in uno strumento di dirottamento.

Lo schema “ConsentFix” mantiene lo scenario generale dell’inganno, ma invece di installare malware, mira a rubare un codice di autorizzazione OAuth 2.0, che viene poi utilizzato per ottenere un token di accesso all’interfaccia della riga di comando di Azure. L’attacco inizia con la visita a un sito web legittimo compromesso, dove appare un finto widget Cloudflare Turnstile, che richiede un indirizzo email valido.

I team addetti alla sicurezza sono consigliati di monitorare le attività insolite dell’interfaccia della riga di comando di Azure, inclusi gli accessi da indirizzi IP insoliti, e di monitorare l’utilizzo delle autorizzazioni Graph legacy, su cui questo schema si basa per eludere gli strumenti di rilevamento standard.