Một kỹ thuật tấn công mạng mới, tinh vi được gọi là ConsentFix, đang gây ra mối đe dọa đáng kể trong không gian an ninh mạng. Kỹ thuật này kết hợp phishing ủy quyền OAuth (OAuth consent phishing) với các lời nhắc kiểu ClickFix. Nó cho phép kẻ tấn công chiếm đoạt tài khoản Microsoft mà không cần yêu cầu mật khẩu hoặc xác thực đa yếu tố (MFA).

Tổng quan về kỹ thuật tấn công ConsentFix

Cuộc tấn công ConsentFix đại diện cho một bước tiến trong các chiến thuật phishing hiện đại. Thay vì đánh cắp thông tin đăng nhập trực tiếp, kỹ thuật này lợi dụng quy trình ủy quyền OAuth hợp pháp.

Toàn bộ hoạt động diễn ra trong ngữ cảnh trình duyệt. Điều này khiến các công cụ bảo mật truyền thống gặp khó khăn đáng kể trong việc phát hiện và ngăn chặn. Mục tiêu chính là khai thác ứng dụng Azure CLI để giành quyền truy cập trái phép vào tài khoản của nạn nhân.

Điểm đáng chú ý của ConsentFix là khả năng vượt qua các biện pháp bảo mật dựa trên mật khẩu. Nó cũng bỏ qua hiệu quả các phương thức xác thực chống phishing như passkeys. Kỹ thuật này khai thác sự tin cậy ngầm của ứng dụng Azure CLI trong môi trường Entra ID của Microsoft.

Cơ chế hoạt động chi tiết của ConsentFix

Kỹ thuật ConsentFix bắt đầu bằng việc điều hướng nạn nhân đến các trang web độc hại hoặc bị xâm nhập. Các trang này thường được quảng bá thông qua kết quả tìm kiếm của Google Search. Điều này tạo ra một ấn tượng về tính hợp pháp và đáng tin cậy.

Giai đoạn thu thập và lọc mục tiêu

Các trang web giả mạo được thiết kế để chứa một cơ chế xác minh Cloudflare Turnstile giả mạo. Mục đích của cơ chế này là thu thập địa chỉ email của người dùng. Sau đó, nó lọc ra các tổ chức mục tiêu cụ thể. Quy trình này đảm bảo rằng chỉ những nạn nhân phù hợp mới tiếp tục qua các bước tiếp theo của tấn công ConsentFix.

Khi một email đủ điều kiện được nhập, nạn nhân sẽ được nhắc nhấp vào nút “Sign In”. Thao tác này sẽ mở một trang đăng nhập Microsoft hợp pháp trong một tab mới của trình duyệt. Sự chuyển hướng đến một trang chính thức giúp nạn nhân tin tưởng vào tính xác thực của quy trình.

Chiếm đoạt mã ủy quyền OAuth

Nếu người dùng đã đăng nhập vào tài khoản Microsoft của họ, họ sẽ chọn tài khoản từ một menu thả xuống. Sau đó, trình duyệt sẽ chuyển hướng đến một URL localhost. URL này không phải là một địa chỉ web công khai mà là một địa chỉ nội bộ, chứa một mã ủy quyền OAuth đặc biệt liên quan đến tài khoản Microsoft của nạn nhân.

Kẻ tấn công sau đó hướng dẫn nạn nhân sao chép toàn bộ URL localhost này. URL này phải được dán trở lại vào trang phishing ban đầu. Hành động sao chép-dán tưởng chừng vô hại này là bước then chốt, cấp cho kẻ tấn công quyền truy cập hoàn toàn vào tài khoản Microsoft của nạn nhân thông qua Azure CLI.

Quá trình này cho phép kẻ tấn công chiếm quyền điều khiển tài khoản một cách hiệu quả. Nó bỏ qua hoàn toàn yêu cầu cung cấp mật khẩu. Đồng thời, nó vượt qua các lớp bảo vệ của xác thực đa yếu tố, kể cả các phương thức chống phishing được thiết kế để ngăn chặn các cuộc tấn công như vậy.

Khai thác Azure CLI: Cốt lõi của ConsentFix

Ứng dụng Azure CLI đóng vai trò trung tâm trong kỹ thuật ConsentFix. Đây là một ứng dụng bên thứ nhất của Microsoft, được hệ thống Entra ID (trước đây là Azure AD) tin cậy ngầm. Điều này mang lại cho nó một vị thế đặc biệt.

Điểm mấu chốt là Azure CLI được miễn các yêu cầu chấp thuận OAuth tiêu chuẩn. Không giống như các ứng dụng bên thứ ba thông thường, Azure CLI có thể yêu cầu và nhận các quyền cần thiết mà không cần sự chấp thuận rõ ràng của quản trị viên. Điều này làm giảm đáng kể rào cản khai thác.

Quan trọng hơn, Azure CLI không thể bị chặn hoặc xóa một cách dễ dàng trong môi trường Entra ID. Điều này biến nó thành một mục tiêu lý tưởng cho các cuộc tấn công mạng tinh vi như ConsentFix. Sự tin cậy nội bộ này cho phép kẻ tấn công truy cập sâu vào tài nguyên và dữ liệu mà nạn nhân có quyền.

Để hiểu rõ hơn về tính năng và vai trò của công cụ này, độc giả có thể tham khảo tài liệu chính thức từ Microsoft: Azure CLI Documentation.

Kỹ thuật né tránh phát hiện tinh vi

Chiến dịch ConsentFix được thiết kế với các phương pháp né tránh phát hiện cực kỳ tinh vi. Những kỹ thuật này giúp duy trì hoạt động của cuộc tấn công mạng và tránh bị các hệ thống bảo mật truyền thống phát hiện.

Các phương pháp né tránh chính

• Nhắm mục tiêu có điều kiện dựa trên email: Kẻ tấn công chỉ hiển thị nội dung phishing cho các email thuộc về các tổ chức hoặc cá nhân mục tiêu. Điều này ngăn chặn việc phân tích rộng rãi bởi các nhà nghiên cứu bảo mật.
• Chặn IP đồng bộ trên nhiều trang web: Kẻ tấn công triển khai cơ chế chặn địa chỉ IP của các máy quét bảo mật và nhà nghiên cứu trên nhiều trang web bị xâm nhập. Điều này làm cho việc theo dõi chuỗi tấn công trở nên khó khăn.
• Tải JavaScript chọn lọc dựa trên địa chỉ IP: Mã độc chỉ được tải và thực thi cho các địa chỉ IP hợp lệ của nạn nhân. Các địa chỉ IP từ các máy chủ phân tích hoặc VPN thường bị loại trừ.

Những kỹ thuật này được thiết kế để ngăn chặn việc phân tích bảo mật tự động và thủ công. Chúng làm cho cuộc tấn công mạng này gần như không thể xác định được chỉ thông qua kiểm tra dựa trên URL hoặc các phương pháp phát hiện tĩnh. Điều này đặt ra thách thức lớn cho các hệ thống an ninh mạng truyền thống và cần một cách tiếp cận chủ động hơn.

Khuyến nghị và biện pháp phòng ngừa

Để bảo vệ hệ thống khỏi các mối đe dọa mạng như ConsentFix, các tổ chức cần thực hiện các biện pháp giám sát và phòng ngừa chủ động. Điều này đặc biệt quan trọng đối với các môi trường sử dụng Microsoft Azure và Entra ID.

Giám sát sự kiện đăng nhập Azure CLI

Các tổ chức nên theo dõi chặt chẽ các sự kiện đăng nhập Microsoft Azure CLI. Các hoạt động đăng nhập này thường chỉ giới hạn ở các quản trị viên hệ thống và nhà phát triển. Bất kỳ hoạt động đăng nhập Azure CLI tương tác bất thường nào từ người dùng không phải quản trị viên cần được điều tra ngay lập tức.

Việc giám sát liên tục giúp phát hiện sớm các dấu hiệu của việc chiếm quyền điều khiển tài khoản. Nó cũng cung cấp khả năng phản ứng kịp thời trước khi thiệt hại lan rộng. PushSecurity đã nhấn mạnh tầm quan trọng của việc này trong phân tích về ConsentFix.

# Ví dụ về truy vấn cơ bản trong Azure Monitor để tìm sự kiện đăng nhập Azure CLI
SigninLogs
| where AppDisplayName == "Azure CLI"
| where ResultType == 0 // Lọc các đăng nhập thành công
| project TimeGenerated, UserPrincipalName, IPAddress, Location, AuthenticationDetails, CorrelationId

Theo dõi nhật ký AADGraphActivityLogs

Các nhóm bảo mật cần bật và giám sát AADGraphActivityLogs. Nhật ký này rất hữu ích trong việc phát hiện các hoạt động liệt kê Azure AD đáng ngờ. Đây có thể là dấu hiệu của các nỗ lực thăm dò hoặc tìm kiếm thông tin của kẻ tấn công trước khi thực hiện một cuộc xâm nhập mạng.

Ngoài ra, cần chú ý đặc biệt đến các hoạt động đăng nhập không tương tác (non-interactive logins) từ các vị trí địa lý không mong muốn hoặc bất thường. Đây là dấu hiệu cảnh báo mạnh mẽ về một cuộc tấn công mạng tiềm tàng hoặc đã xảy ra, cho thấy khả năng phát hiện xâm nhập đã được kích hoạt.

# Ví dụ về truy vấn nhật ký Azure AD để tìm hoạt động đáng ngờ
AuditLogs
| where Category == "ApplicationManagement"
| where ActivityDisplayName contains "Add service principal credential" or ActivityDisplayName contains "Update application"
| extend Initiator = tostring(InitiatedBy.user.userPrincipalName)
| project TimeGenerated, Initiator, ActivityDisplayName, TargetResources

Tăng cường nhận thức người dùng và an ninh mạng tổng thể

Mặc dù ConsentFix có thể bỏ qua MFA, việc nâng cao nhận thức của người dùng vẫn là một lớp bảo vệ quan trọng. Đào tạo người dùng về các dấu hiệu của phishing, đặc biệt là các lời nhắc bất thường để sao chép-dán URL, có thể giảm thiểu rủi ro đáng kể.

Các tổ chức cần duy trì và củng cố liên tục các thực hành an ninh mạng tốt. Điều này bao gồm việc thường xuyên cập nhật và đánh giá các chính sách bảo mật của mình. Đảm bảo rằng chúng đủ mạnh mẽ để đối phó với các kỹ thuật tấn công mới nổi và tinh vi như ConsentFix.