Ein neuer Angriffsvektor, der in Foren wie ConsentFix v3 bekannt ist, zeigt eine wiederkehrende Schwäche in Architekturen, die OAuth fließt: Es ist nicht immer das Passwort oder MFA, das Sicherheit bestimmt, aber wie und wem Vertrauen gewährt wird. Im Gegensatz zu herkömmlichen Phishing-Angriffen automatisiert ConsentFix v3 und skaliert eine Technik, die OAuth2s Freifluss nutzt, um gültige Token durch Microsoft-Anwendungen zu erhalten, die bereits vorbewilligt sind oder innerhalb der Gruppe der Vertrauens-Anwendungen des Mieters.
Die technische Innovation dieser Variante ist keine neue kryptographische Explosion, sondern die Kombination von Social Engineering mit öffentlichen Cloud-Tools, um die Kampagne zu orchestrieren: Phishing-Seiten von Cloudflare Pages, die ein legitimes Microsoft-Login starten, Leserbriefe an einen lokalen Host mit dem Berechtigungscode und einem automatisierten Rohr, das diesen Code erfasst und sofort durch Token mit serverlosen Plattformen wie Pipedream ausgetauscht. Das Ergebnis ist eine Exfiltration von tokensbasierten Anmeldeinformationen, die Steuerungen wie MFA entfernen können, weil die Berechtigung vom Benutzer selbst in einem scheinbar legitimen Fluss gemacht wird.
Jenseits der pünktlichen Technik ist das Hintergrundproblem architektonisch. Microsoft und andere moderne Clouds verwenden "First of the house" (First-Party) Anwendungen und Mechanismen wie Family of Client IDs (FOI), die Benutzererfahrung erleichtern, aber auch eine Angriffsfläche schaffen: wenn ein autorisierter Client Berechtigungen und Erfrischungs-Token teilt, kann das Kompromieren eines autorisierten Flusses Zugriff auf mehrere Ressourcen geben, ohne um eine häufige Reauthentikation zu fordern. Sicherheitsteams müssen verstehen, die Vermutung des vorgekauften Vertrauens erhöht das Risiko des Missbrauchs auf einer Skala. Um die Familien von Microsoft-Kunden weiter zu identifizieren, finden Sie in GitHub: Familie der Kunden-IDs.
Die praktischen Auswirkungen einer gültigen Token-Intrusion reichen von der Diebstahl von Post und Dateien bis zur Verwendung von automatisierten Genehmigungen seitlich im Mieter zu bewegen. In gemeldeten Kampagnen kombinieren Angreifer fortschrittliche Social Engineering - benutzerdefinierte Posts, PDFs gehostet in legitimen Dienstleistungen wie DocSend - mit Automatisierung, um die Zeit zwischen dem Opfer "autorisiert" und der effektiven Gewinnung des Erfrischungstons zu reduzieren. Integrationsplattformen wie Pipedream werden in Echtzeit als Webhook, Code-Austausch-Engine und Tokensammler verwendet; in anderen Fällen werden erfasste Token zur Steuerung von Paneelen für weitere Explorationen (z.B. Specter oder andere Token-Missbrauchswerkzeuge) importiert.
Was können Sicherheitsteams sofort tun? Erstens, zu erkennen, dass eine effektive Minderung politische Veränderungen und Erkennung erfordert, nicht nur Sensibilisierung. Sperren oder beschränken Sie die Einwilligung auf Benutzerebene reduzieren Sie die Oberfläche: zwingen Sie neue Anwendungen, um eine administrative Zustimmung zu verlangen, die Nutzung vorbewilligter Anwendungen zu begrenzen und regelmäßig Anwendungen mit hohen Genehmigungen zu überprüfen. Die Umsetzung von Conditional Access-Richtlinien, die verwaltete Geräte oder Sitzungen mit risikogebundenen Token erfordern, können die Kosten für den automatisierten Betrieb erhöhen.
Zweitens, Verbesserung der Telemetrie und Erkennung. Auditing OAuth-Ereignisse (Code-Problem, Token-Code-Austausch, Aktual-Token-Problem) und Erstellung von Verhaltensregeln, um atypische Muster zu erkennen - zum Beispiel, Code-Austausch von Orten oder ungewöhnlichen Agenten, oder sofortigen Austausch von externen Domains - ermöglicht es Ihnen, schneller zu reagieren. Die Umsetzung mit dem in Kampagnen verwendeten Infrastrukturblock (Phishing Page Hosts, wiederverwendete Webhook-Endpunkte) kann dazu beitragen, die Automatisierung zu unterbrechen.
Drittens, spezifische technische Maßnahmen, die überprüft werden sollen: die Länge und Dauer der Auffrischungstonen begrenzen, aggressivere Ablaufpolitiken festlegen, Umsetzungsbeschränkungen (die Apps bestimmte Anwendungsbereiche anfordern können) aktivieren und die Verwendung von "Token-Bindung"- oder Token-Bindungsmechanismen für zuverlässige Geräte bewerten, wenn sie verfügbar sind. Es gibt keine einzige Silberkugel: effektive Verteidigung kombiniert die Verhinderung von übermäßiger Zustimmung, die Kontrolle der Authentifizierungsumgebung und das Erkennen von Verhalten. Um den Berechtigungsfluss und die Punkte, an denen die Erkennung aktiviert werden soll, besser zu verstehen, ist Microsofts Dokumentation über den Berechtigungsfluss eine nützliche Referenz: OAuth 2.0 Zulassungscode Flow (Microsoft).
Nicht weniger wichtig ist die Ausbildung von Mitarbeitern mit Schwerpunkt auf spezifischen Techniken, die für diese Angriffe verwendet werden. Lernen Sie seltsame Interaktionen zu erkennen, die URLs einfügen oder ziehen möchten, die auf localhost hinweisen und operative Regeln festlegen, in denen Sie nie akzeptieren, um Umleitungsketten aus verifizierten Kontexten einzufügen, reduziert die Wirksamkeit des sozialen Tricks, der ConsentFix unterstützt.
Schließlich sollten Antwortteams Playbooks für schnelle Tokens Widerruf und Sitzungsblockierung vorbereiten, wenn sie Anzeichen von Missbrauch erkennen. Die Anwesenheit einer Technik in Foren bedeutet in Erinnerung nicht die sofortige Massenannahme, sondern die von ConsentFix v3 vorgeschlagene Automatisierung macht die Eintrittssperre gering und damit das Risiko einer Eskalation real. Die Kombination strengerererer Zustimmungspolitiken, fokussierter Telemetrie und risikobasierter Zugangskontrollen ist die wirksamste Verteidigungslinie gegen diese Angriffe heute.
Bei der Prüfung von Abhängigkeiten und Expositionspunkten zu diesen Techniken ist die Überprüfung von Anwendungen mit hohen Berechtigungen und externen Integrationen eine vorrangige Aufgabe, die die operative Reaktion ergänzt und die Wahrscheinlichkeit reduziert, dass ein einziger bevollmächtigter Zulassungscode zu einem Bereich von anhaltenden Angriffen wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...