СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.12.2025
#ИБ

ConsentFix: фишинг OAuth и перехват PRT в Microsoft

Кампания по фишингу, известная как ConsentFix, представляет собой новый подход к краже токенов аутентификации посредством принудительного взаимодействия с пользователем. Вдохновлённая ранее документированными методами, такими как ClickFix и FileFix, она специально нацелена на токены OAuth, необходимые для аутентификации пользователей.

Как работает атака

Схема атаки проста, но эффективна:

  • Злоумышленник разворачивает страницу фишинга, которая сначала просит жертву ввести действительный адрес электронной почты.
  • Список допустимых адресатов заранее ограничен, чтобы только «законные» пользователи могли продолжить взаимодействие.
  • После ввода адреса пользователь перенаправляется на страницу проверки подлинности Microsoft, при этом взаимодействие инициируется с сайта фишинга.
  • При входе пользователь генерирует код аутентификации — в частности первичный токен обновления (PRT) — который затем перехватывается злоумышленником.
  • Полученный токен связан с устройством пользователя и соответствует протоколам безопасности Microsoft, что делает атаку способной компрометировать даже легитимные учетные данные.

«ConsentFix специально нацелен на токены OAuth, которые необходимы для аутентификации пользователя.»

Почему это опасно

Ключевая угроза заключается в том, что атака эксплуатирует легитимные механизмы OAuth и процессы аутентификации Microsoft, а не уязвимости в самом сервисе. Похищенный PRT позволяет злоумышленникам действовать с уровня устройства, снижая вероятность немедленного обнаружения.

  • Используются законные URL Microsoft, что затрудняет фильтрацию по домену.
  • Токен привязан к устройству, поэтому похищение выглядит как успешная аутентификация с доверенного устройства.
  • Механизм адресной фильтрации (только заранее определённые email-адреса) повышает вероятность успеха и сокращает шум.
  • Хотя в прошлых инцидентах чаще фигурировал Azure CLI, тактика не ограничена этим приложением: используются и другие приложения, способные инициировать OAuth‑флоу.

Методы обнаружения и индикаторы компромисса (IOC)

Для усиления возможностей обнаружения эксперты предлагают мониторинг сетевого трафика на предмет определённых шаблонов URL. В частности, внимание обращается на редиректы, исходящие с localhost, и на легитимные Microsoft‑URL, используемые в OAuth‑процессах.

Выделяемые признаки, на которые стоит обращать внимание:

  • Необычные перенаправления с локального хостинга (localhost), которые в большинстве корпоративных сред маловероятны.
  • URL‑шаблоны Microsoft OAuth с неожиданными параметрами перенаправления и client‑id, используемые вне ожидаемой среды.
  • Аномалии в выдаче или обновлении PRT, особенно если они сопровождаются нетипичными сетевыми маршрутами.

Для автоматизации обнаружения рекомендуется использовать динамические IOC, в том числе регулярные выражения, учитывающие идентификаторы клиентов Microsoft, и правила, которые сигнализируют о редиректах на localhost или другие нестандартные URI.

Практические рекомендации для организаций

  • Внедрите мониторинг и логирование OAuth‑флоу и внимательно отслеживайте редиректы на localhost и нестандартные redirect_uri.
  • Ограничьте и контролируйте доверенные redirect_uri в настройках приложений Microsoft и в политиках Azure AD.
  • Применяйте принцип наименьших привилегий для приложений, требующих consent, и проверяйте разрешения (scope) перед выдачей.
  • Включите многофакторную аутентификацию и политики условного доступа, привязывая сессии к устройствам и геолокации.
  • Учите сотрудников распознавать фишинговые страницы, которые имитируют вход через Microsoft и запрашивают почту перед редиректом.
  • Разверните правила SIEM/EDR для обнаружения необычных OAuth‑запросов и выдачи/обновления PRT.

Вывод

ConsentFix демонстрирует, что злоумышленники переходят от простых фишинговых форм к более изощрённым схемам, использующим легитимные механизмы аутентификации для кражи токенов. Организациям следует усилить контроль над OAuth‑флоу, ограничить допустимые redirect_uri, и внедрить сетевой и поведенческий мониторинг для своевременного обнаружения подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: