全新 ConsentFix 技術:讓用戶在不知不覺中交出 OAuth Token

Push Security 的研究人員觀察到一種新的 ClickFix 攻擊變體,結合了「OAuth 同意釣魚和 ClickFix 風格的使用者提示,導致帳戶被盜用。」

這種技術,研究人員稱之為「ConsentFix」,騙取受害者複製並粘貼包含授權令牌的 localhost URL,然後將其粘貼到釣魚頁面上。

研究人員解釋說:「授權碼流程是一種 OAuth 2.0 協議,用於網頁應用程式獲得用戶訪問受保護資源的許可。」

他們指出:「使用授權碼流程來連接應用程式時,會將代碼與應用程式持有的 OAuth 秘密結合,以換取一個Token(即有價值的部分)。然而,有些應用程式無法保護秘密——例如,運行在你的行動裝置或桌面上的應用程式。在這種情況下,僅使用代碼就足以生成 OAuth Token,而不需要秘密——這正是此處被利用的原因。」

在 Push Security 觀察到的攻擊中,威脅行為者濫用了 Azure CLI OAuth 應用程式以針對 Microsoft 帳戶。

研究人員寫道:「基本上,攻擊者通過生成一個可見在 localhost URL 中的 OAuth 授權碼來騙取受害者登錄 Azure CLI,然後將該 URL(包括代碼)粘貼到攻擊者控制的頁面上。這隨後在受害者的 Microsoft 帳戶和攻擊者的 Azure CLI 實例之間建立了 OAuth 連接。」

Push Security 指出,這些攻擊非常難以阻止,因為它們依賴於合法的工具和社會工程技術:

  • 「攻擊完全在瀏覽器上下文中發生,消除了 ClickFix 的一個關鍵檢測機會(因為它不觸碰端點)。
  • 「通過 Google 搜尋引擎的釣魚攻擊完全繞過了基於電子郵件的反釣魚控制。」
  • 「針對像 Azure CLI 這樣的第一方應用程式意味著許多可用於第三方應用整合的緩解控制無法適用——使這種攻擊更難預防。」
  • 「因為不需要登錄,抗釣魚的驗證控制(如密碼鑰匙)對這次攻擊沒有影響。」

KnowBe4 使你的員工每天都能做出更明智的安全決策。全球超過70,000個組織信賴 KnowBe4 HRM+平台,以強化他們的安全文化並降低人為風險。

Push Security 的研究,揭示了一種新的 ClickFix 攻擊變體。

文章來源: New ConsentFix Technique Tricks Users Into Handing Over OAuth Tokens

You cannot copy content of this page