Um novo vetor de ataque conhecido em fóruns como ConsentFix v3 está evidenciando uma fraqueza recorrente em arquiteturas que confiam em fluxos OAuth: nem sempre é a senha ou a MFA o que determina a segurança, mas Como e quem é concedida a confiança. Ao contrário dos ataques tradicionais de phishing, ConsentFix v3 automatiza e escala uma técnica que aproveita o fluxo de autorização de OAuth2 para obter tokens válidos através de aplicações da Microsoft que já estão pré-aprovadas ou dentro do conjunto de aplicações de confiança do inquilino.
A inovação técnica desta variante não é um novo exploit criptográfico, mas a combinação de engenharia social com ferramentas cloud públicas para orquestrar a campanha: páginas de phishing servidas desde Cloudflare Pages que iniciam um início de sessão legítimo da Microsoft, redireções a um localhost que contêm o código de autorização e uma tubulação automatizada que captura esse código e troca imediatamente por tokens usando plataformas serverless como Pipedream. O resultado é uma ex-filtração de credenciais baseada em Tokens que pode sortear controles como MFA, porque a autorização é feita pelo próprio usuário em um fluxo aparentemente legítimo.
Além da técnica pontual, o problema de fundo é arquitetônico. Microsoft e outras nuvens modernas utilizam aplicações “primeiro da casa” (first-party) e mecanismos como Family of Client IDs (FOCI) que facilitam a experiência de usuário, mas também criam uma superfície de ataque: quando um cliente autorizado compartilha permissões e refresh tokens, comprometer um fluxo autorizado pode dar acesso a múltiplos recursos sem pedir reatenticação frequente. As equipes de segurança devem entender que a conveniência da confiança preconcedida aumenta o risco de abuso em escala. Para aprofundar como se identificam famílias de clientes na Microsoft, você pode consultar a pesquisa pública no GitHub: Family of Client IDs.
Os efeitos práticos de uma intrusão com tokens válidos vão desde o roubo de e-mail e arquivos até o aproveitamento de permissões automáticas para se mover lateralmente no tenant. Em campanhas relatadas, os atacantes combinam engenharia social avançada —correos personalizados, PDFs alojados em serviços legítimos como DocSend — com automação para reduzir o tempo entre a vítima “autoriza” e a obtenção efetiva do refresh token. Plataformas de integração como Pipedream são usadas como webhook, motor de troca de códigos e coleta de tokens em tempo real; em outros casos os tokens capturados são importados para painéis de controle para posterior exploração (por exemplo, Specter ou outras ferramentas de abuso de tokens).
O que as equipas de segurança podem fazer imediatamente? Primeiro, reconhecer que a mitigação efetiva exige mudanças em políticas e detecção, não só consciênciação. Bloquear ou restringir o consentimento de aplicativos a nível de usuário reduz a superfície: forçar as novas aplicações a exigirem consentimento administrativo, limitar o uso de aplicações pré-aprobadas e rever regularmente as aplicações com permissões elevadas. Aplicar políticas de Conditional Access que exijam dispositivos administrados ou sessões com tokens acotados por risco pode elevar o custo da exploração automatizada.
Segundo, melhorar a telemetria e a detecção. Auditar eventos de OAuth (emissão de códigos, troca de códigos por Tokens, emissão de refresh Tokens) e criar regras de comportamento para detectar padrões atípicos — por exemplo, troca de código de locais ou agentes invulgares, ou troca imediata de domínios externos — permite responder mais rápido. Complementar com bloqueio de infraestrutura usada em campanhas (hosts de páginas de phishing, endpoints de webhook usados recorrentemente) pode ajudar a interromper a automação.
Terceiro, medidas técnicas concretas que convém rever: limitar a extensão e duração de refresh tokens, estabelecer políticas de caducidade mais agressivas, habilitar restrições de aplicação (que apps podem solicitar certos scopes) e avaliar o uso de “token binding” ou mecanismos de atado de token a dispositivos confiáveis onde estejam disponíveis. Não existe apenas uma bala de prata: a defesa eficaz combina prevenção de consentimento excessivo, controle do ambiente de autenticação e detecção de comportamento. Para entender melhor o fluxo de autorização e os pontos onde a detecção foi instruída, a documentação da Microsoft sobre o fluxo de autorização é uma referência útil: OAuth 2.0 authorization code flow (Microsoft).
Não menos importante é a capacitação do pessoal com foco em técnicas concretas empregadas por esses ataques. Ensinar a reconhecer interações estranhas que solicitam colar ou arrastar URLs que apontem para localhost, e estabelecer regras operacionais em que nunca se aceite colar cadeias de redireccionamento fora de contextos verificados, reduz a eficácia do truque social que sustenta ConsentFix.
Por fim, as equipes de resposta devem preparar playbooks para revogação rápida de tokens e bloqueio de sessões quando detectarem indícios de abuso. Como lembrete, a presença de uma técnica em fóruns não implica sua adoção maciça imediata, mas a automação que propõe ConsentFix v3 faz com que a barreira de entrada seja baixa e, portanto, o risco de escalada seja real. A combinação de políticas de consentimento mais rigorosas, telemetria focada e controles de acesso baseados em risco constitui a linha de defesa mais efetiva hoje contra esses ataques.
Para auditar dependências e pontos de exposição a essas técnicas, rever as aplicações com licenças elevadas e as integrações externas é uma tarefa prioritária que complementa a resposta operacional e reduz a probabilidade de um único código de autorização comprometido se tornar um domínio de ataques sustentados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...