Un nouveau vecteur d'attaque connu dans des forums comme ConsentementFix v3 montre une faiblesse récurrente dans les architectures qui font confiance aux flux d'OAuth : ce n'est pas toujours le mot de passe ou le MFA qui détermine la sécurité, mais comment et à qui la fiducie est accordée. Contrairement aux attaques d'hameçonnage traditionnelles, ConsentFix v3 automatise et étalonne une technique qui profite du flux de dégagement d'OAuth2 pour obtenir des jetons valides grâce à des applications Microsoft déjà pré-approuvées ou dans les applications de confiance du locataire.
L'innovation technique de cette variante n'est pas une nouvelle explosion cryptographique, mais la combinaison de l'ingénierie sociale avec des outils de cloud public pour orchestrer la campagne : des pages d'hameçonnage servies à partir de Cloudflare Pages qui démarrent une connexion Microsoft légitime, des adresses à un hôte local contenant le code d'autorisation et un tuyau automatisé qui capture ce code et l'échange immédiatement par des jetons utilisant des plateformes sans serveur comme Pipedream. Le résultat est une infiltration d'identificateurs basés sur des jetons qui peuvent supprimer les contrôles comme MFA, parce que l'autorisation est faite par l'utilisateur lui-même dans un flux apparemment légitime.
Au-delà de la technique ponctuelle, le problème de fond est architectural. Microsoft et d'autres nuages modernes utilisent "la première de la maison" (première partie) applications et mécanismes tels que la famille des ID de client (FOI) qui facilitent l'expérience de l'utilisateur mais créent également une surface d'attaque: quand un client autorisé partage des permissions et des jetons de rafraîchissement, compromettre un flux autorisé peut donner accès à plusieurs ressources sans demander de réauthentification fréquente. Les équipes de sécurité doivent comprendre que l'opportunité d'une confiance préconçue augmente le risque d'abus sur une échelle. Afin de mieux identifier les familles des clients de Microsoft, des recherches publiques peuvent être trouvées dans GitHub: Famille d'identités de clients.
Les effets pratiques d'une intrusion de jetons valides vont du vol de courrier et de fichiers à l'utilisation de permis automatisés pour se déplacer latéralement au locataire. Dans les campagnes signalées, les agresseurs combinent l'ingénierie sociale avancée - courriers personnalisés, PDF hébergés dans des services légitimes tels que DocSend - avec l'automatisation pour réduire le temps entre la victime « autorise » et l'obtention effective du jeton de rafraîchissement. Les plates-formes d'intégration telles que Pipedream sont utilisées en temps réel comme webhook, moteur d'échange de code et collecteur de jetons; dans d'autres cas, les jetons capturés sont importés aux panneaux de contrôle pour une exploration plus approfondie (p. ex. Specter ou autres outils d'abus de jetons).
Que peuvent faire les équipes de sécurité immédiatement? Tout d'abord, reconnaître que l'atténuation efficace exige des changements de politique et une détection, et pas seulement une sensibilisation. Bloquer ou restreindre le consentement de l'application au niveau de l'utilisateur réduire la surface : forcer les nouvelles demandes à exiger le consentement administratif, limiter l'utilisation des demandes préapprouvées et examiner régulièrement les demandes avec des permis élevés. Mettre en oeuvre des politiques d'accès conditionnel qui exigent des appareils ou des sessions gérés avec des jetons liés aux risques peut augmenter le coût de l'opération automatisée.
Deuxièmement, améliorer la télémétrie et la détection. L'audit des événements OAuth (problème de code, échange de code de jetons, problème de jetons de rafraîchissement) et la création de règles de comportement pour détecter les modèles atypiques - par exemple, échange de code à partir de lieux ou d'agents inhabituels, ou échange immédiat à partir de domaines externes - vous permettent de répondre plus rapidement. Compléter avec le bloc d'infrastructure utilisé dans les campagnes (hôtes de page de phishing, terminaux de webhook utilisés régulièrement) peut aider à interrompre l'automatisation.
Troisièmement, les mesures techniques spécifiques à revoir: limiter la durée et la longueur des jetons de rafraîchissement, établir des politiques d'expiration plus agressives, permettre des restrictions de mise en œuvre (que les applications peuvent demander certains champs d'application) et évaluer l'utilisation de mécanismes de reliure des jetons ou de reliure des jetons à des dispositifs fiables lorsqu'ils sont disponibles. Il n'y a pas de balle en argent : une défense efficace combine la prévention du consentement excessif, le contrôle de l'environnement d'authentification et la détection du comportement. Pour mieux comprendre le flux d'autorisation et les points où la détection doit être activée, la documentation de Microsoft sur le flux d'autorisation est une référence utile: Flux de code d'autorisation OAuth 2.0 (Microsoft).
La formation du personnel axée sur les techniques spécifiques utilisées pour ces attaques n'est pas moins importante. Apprenez à reconnaître des interactions étranges qui demandent de coller ou de glisser des URL qui pointent vers localhost, et établir des règles opérationnelles dans lesquelles vous n'acceptez jamais de coller des chaînes de redirection hors de contextes vérifiés, réduit l'efficacité de l'astuce sociale qui supporte ConsentFix.
Enfin, les équipes d'intervention devraient préparer des cahiers de lecture pour la révocation rapide des jetons et le blocage des sessions lorsqu'elles détectent des signes d'abus. Pour rappel, la présence d'une technique dans les forums n'implique pas son adoption de masse immédiate, mais l'automatisation proposée par ConsentFix v3 réduit la barrière d'entrée et donc le risque d'escalade réelle. La combinaison de politiques de consentement plus strictes, de télémétrie ciblée et de contrôles d'accès fondés sur le risque est la ligne de défense la plus efficace contre ces attaques aujourd'hui.
Pour vérifier les dépendances et l'exposition à ces techniques, examiner les demandes avec des autorisations élevées et des intégrations externes est une tâche prioritaire qui complète la réponse opérationnelle et réduit la probabilité qu'un seul code d'autorisation engagé devienne un domaine d'attaque soutenue.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...