L’attaque incite les employés à créer une URL permettant aux pirates informatiques de récupérer leurs jetons de connexion Microsoft.
Une nouvelle variante de l’arnaque ClickFix tente de contourner les défenses contre le phishing en capturant le jeton d’authentification OAuth d’un employé pour les connexions Microsoft.
Les chercheurs de Push Security ont décrit cette semaine cette tactique, qu’ils appellent ConsentFix, dans un blog, la qualifiant de « évolution dangereuse de ClickFix et du phishing par consentement qui est incroyablement difficile à détecter et à bloquer pour les outils de sécurité traditionnels ».
Généralement, les attaques ClickFix affichent une fausse erreur ou une fausse vérification CAPTCHA à un utilisateur pour l’amener à copier, coller et exécuter des commandes malveillantes sur ses appareils.
Ce qui est nouveau dans une attaque ConsentFix, c’est que l’attaque se produit entièrement à l’intérieur d’un navigateur, disent les chercheurs, ce qui supprime l’une des principales opportunités de détection car l’attaque ne touche pas de point final.
L’attaque commence lorsqu’une victime tombe sur un site Web légitime mais compromis qu’elle recherche dans une recherche Google, qui contourne complètement les contrôles anti-phishing basés sur les e-mails. L’accès au site déclenche une fausse page de vérification de type Cloudflare CAPTCHA demandant à la victime de saisir son adresse e-mail professionnelle pour prouver qu’elle est humaine. Cela fait apparaître une page de connexion Microsoft qui inclut une URL légitime, basée sur l’adresse e-mail de la victime, qui contiendrait un jeton OAuth. La victime est invitée à copier et coller cette URL dans un champ, encore une fois, pour vérifier qu’elle est humaine. L’URL est capturée par l’auteur de la menace, auquel cas la victime a accordé à l’attaquant l’accès à son compte Microsoft via l’interface de ligne de commande d’Azure, expliquent les chercheurs.
« À ce stade, l’attaquant contrôle efficacement le compte Microsoft de la victime, mais sans jamais avoir besoin de phishing d’un mot de passe ou de passer une vérification MFA (authentification multifacteur) », explique Push Security. « En fait, si l’utilisateur était déjà connecté à son compte Microsoft (c’est-à-dire s’il avait une session active), aucune connexion n’est requise. »
Christopher Kayser, expert en ingénierie sociale et président de la société canadienne Cybercrime Analytics, affirme que l’attaque s’appuie sur deux tactiques privilégiées par les acteurs de la menace : l’obéissance (couper et coller cette URL) et la confiance (cela ressemble à une page de connexion Microsoft). « Les gens pensent que parce qu’ils utilisent une plate-forme (Microsoft) fiable, tout va bien », a-t-il déclaré dans une interview.
Mais cette attaque montre également les échecs des formations de sensibilisation à la sécurité dispensées par de nombreuses organisations. Si la formation est efficace, les employés devraient soupçonner qu’il y a quelque chose qui ne va pas lorsqu’une application leur demande une adresse e-mail professionnelle pour confirmer qu’ils sont humains, a-t-il déclaré, et savoir que c’est suspect lorsqu’on leur demande de couper et coller quoi que ce soit en ligne pour prouver qu’ils sont humains.
« Il s’agit d’une méthode d’attaque incroyablement nouvelle et innovante », a commenté Roger Grimes, conseiller RSSI de la défense basée sur les données chez KnowBe4. « Il est presque injuste de le classer comme une sous-variante de Clickfix, même si c’est le cas. » Cependant, les chances qu’un employé copie une longue chaîne d’URL pour tester son humanité doivent être très, très faibles, a-t-il ajouté. « Cela semble différent et frauduleux, même pour l’utilisateur le plus ignorant. Pouvez-vous voir vos grands-parents faire ça ? Pas moi. Mais je suis sûr que certaines personnes le font, sinon les escrocs ne l’essayeraient pas », a-t-il déclaré.
« Je suppose que son taux de réussite est si faible qu’il ne devient pas une méthode d’arnaque populaire dont la plupart d’entre nous devraient s’inquiéter », a-t-il déclaré. « Ce que nous devons communiquer aux utilisateurs, c’est la fréquence à laquelle la marque Cloudflare est utilisée dans des escroqueries d’ingénierie sociale et à quoi ressemble l’authentification/validation Cloudflare correcte. Le contrôle CAPTCHA Cloudflare est devenu le faux écran antivirus du monde d’aujourd’hui. »
Les organisations doivent reconnaître que l’attaque ConsentFix met en évidence les dangers de la confiance implicite dans les applications propriétaires et dans l’utilisation continue des anciens périmètres OAuth, a déclaré Avivah Litan, analyste principale pour la gestion de la confiance, des risques et de la sécurité de l’IA chez Gartner. Il s’agit notamment d’anciens ensembles d’autorisations au sein de Microsoft Entra ID qui accordent un accès large et ne sont pas soumis à des contrôles ou à une surveillance de sécurité modernes.
« Les attaquants exploitent ces étendues héritées pour énumérer les données d’annuaire, ce qui signifie qu’ils peuvent systématiquement récupérer et cartographier les comptes d’utilisateurs, les groupes et autres objets d’annuaire au sein de l’organisation », a-t-elle déclaré. « Cette reconnaissance permet aux attaquants d’identifier des cibles de grande valeur et de planifier d’autres attaques, le tout sans déclencher d’alertes qui seraient associées à des autorisations plus récentes et plus étroitement contrôlées. »
La stratégie d’atténuation la plus efficace contre ce type d’attaque est une combinaison d’une surveillance robuste, d’une gouvernance renforcée du consentement et d’une protection des utilisateurs en temps réel, a noté Litan. « En résolvant ces problèmes fondamentaux, notamment en limitant l’utilisation des anciennes étendues OAuth, en renforçant les processus de consentement pour toutes les applications et en déployant une sécurité basée sur le navigateur, les entreprises peuvent réduire considérablement le risque d’accès non autorisé résultant d’un abus de consentement OAuth et améliorer leur posture globale de sécurité des identités. »
Push Security note que l’attaque pourrait réussir, car le ciblage d’une application propriétaire telle qu’Azure CLI signifie que de nombreux contrôles d’atténuation disponibles pour les intégrations d’applications tierces ne s’appliquent pas. Comme aucune connexion n’est requise, les contrôles d’authentification résistants au phishing, tels que les mots de passe, n’ont aucun impact sur cette attaque, ajoutent les chercheurs. Et l’utilisation de techniques avancées d’évasion de détection rend cette attaque difficile à enquêter, ce qui signifie que ces attaques ne sont pas détectées.
L’un des problèmes est que la plupart des formations de sensibilisation à la sécurité ne suffisent pas à réduire les risques que les employés soient victimes d’escroqueries par phishing, a déclaré Kayser.
Il a cité une étude sur les messages de phishing envoyés aux employés d’un hôpital californien sur une période de huit mois. Ceux qui ont suivi un cours de sensibilisation à la cybersécurité sont tout aussi susceptibles d’être tombés dans le piège d’un message de phishing que ceux qui ne l’ont pas fait, a-t-il déclaré.
La formation échoue souvent parce que les instructeurs parlent trop en termes techniques, a-t-il expliqué. Ils devraient plutôt expliquer les attaques, comment elles fonctionnent et comment les reconnaître.
« Si vous pouvez expliquer aux gens ce qui se passe, cela reste valable », a-t-il soutenu.
