Dirottare la fiducia: come "ConsentFix" ha aggirato le difese di Microsoft in una raffica di phishing browser-first

Nel gioco del gatto e del topo del cybercrime, gli attaccanti sono sempre alla ricerca di crepe nell’armatura digitale. Dicembre ha visto l’emergere di "ConsentFix", un attacco di phishing così astuto da eludere le misure di autenticazione più affidabili di Microsoft - passkey, MFA e persino le protezioni integrate di Azure ed Entra ID. Mescolando un social engineering raffinato con inganni nativi del browser, ConsentFix sta riscrivendo le regole del dirottamento degli account, lasciando i difensori a rincorrere.

Dentro la campagna ConsentFix

La tecnica ConsentFix è tanto semplice quanto sinistra. Le vittime finiscono su una pagina di phishing, apparentemente per verificare la loro umanità. Cliccando su "Sign In" si apre un login Microsoft legittimo - nessun campanello d’allarme, dato che la maggior parte degli utenti è già autenticata nel browser. Ma il colpo di scena arriva dopo: una volta effettuato l’accesso, l’utente viene reindirizzato a un URL localhost contenente un prezioso codice di autorizzazione OAuth. Il sito di phishing quindi istruisce l’utente a incollare quel codice nel proprio modulo.

Con questo codice in mano, gli attaccanti possono impersonare la vittima in applicazioni Microsoft mirate come Azure CLI, Teams o Visual Studio - senza password, MFA o approvazione dell’amministratore. L’attacco è devastantemente efficace perché sfrutta app Microsoft di prima parte che sono pre-consentite in ogni tenant e spesso escluse da rigide policy di Accesso Condizionale. Peggio ancora, gli attaccanti abusano di scope legacy che sfuggono al logging predefinito, rendendo il rilevamento una sfida anche per i team più vigili.

Una nuova razza di minaccia

Sebbene l’abuso di OAuth non sia una novità, il flusso di autorizzazione manuale e nativo del browser di ConsentFix è un punto di svolta. A differenza degli attacchi più vecchi che richiedevano di ingannare gli utenti affinché dessero consenso ad app di terze parti malevole, ConsentFix sfrutta app affidabili di prima parte con lacune di sicurezza note. La sua sofisticazione - e gli apparenti legami con l’APT29 russo - ha allarmato i ricercatori, innescando una rapida risposta della comunità. Nel giro di pochi giorni sono emerse nuove varianti proof-of-concept, incluso un exploit del browser drag-and-drop di John Hammond, rendendo l’attacco ancora più difficile da individuare e fermare.

I team di sicurezza ora stanno correndo per adattarsi. Molti strumenti tradizionali - come l’endpoint detection and response (EDR) - sono ciechi di fronte ad attacchi basati sul browser come ConsentFix. Gli esperti raccomandano di monitorare la telemetria del browser, cercare attività OAuth sospette nei log e restringere l’accesso alle applicazioni vulnerabili. Ma mentre compaiono nuove iterazioni di ConsentFix e il toolkit degli attaccanti si espande, i difensori si trovano davanti a un bersaglio in rapido movimento.

Conclusione

ConsentFix è un campanello d’allarme per le organizzazioni: le minacce basate sul browser stanno superando le difese legacy, e la familiare rassicurazione di password e autenticazione a più fattori non basta più. Man mano che le tattiche di phishing evolvono e sfruttano le sottili cuciture nei sistemi di identità cloud, solo un passaggio verso un rilevamento comportamentale e in tempo reale può tenere il passo. Nel frattempo, vigilanza, collaborazione della comunità e disponibilità a ripensare le assunzioni di sicurezza saranno cruciali nella lotta contro il prossimo ConsentFix - e qualunque cosa venga dopo.

WIKICROOK

• OAuth: OAuth è un protocollo che consente agli utenti di dare alle app accesso ai propri account senza condividere le password, migliorando la sicurezza ma comportando anche alcuni rischi.
• Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• Conditional Access Policy: Le policy di Accesso Condizionale sono regole che le organizzazioni usano per controllare chi può accedere alle risorse digitali, spesso richiedendo un’autenticazione aggiuntiva in scenari rischiosi.
• Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi - come satelliti LEO e GEO - per migliorare affidabilità, copertura e sicurezza.
• Endpoint Detection and Response (EDR): Endpoint Detection and Response (EDR) sono strumenti di sicurezza che monitorano i computer alla ricerca di attività sospette, ma possono non rilevare attacchi basati sul browser che non lasciano file.