ConsentFix and ClickFix: How Microsoft 365 Accounts are Hijacked in 3 Seconds
Cyberkriminelle nutzen "ConsentFix"- und "ClickFix"-Angriffe, um in Sekundenschnelle Microsoft 365-Konten zu kapern. Dabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht, um Authentifizierungstoken zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen. Nutzer sollten wachsam sein und verdächtige Anfragen genau prüfen, um sich vor diesen raffinierten Phishing-Methoden zu schützen.
Cyberkriminelle nutzen "ConsentFix"- und "ClickFix"-Angriffe, um Microsoft 365-Konten in Sekundenschnelle zu kapern. Diese Angriffe missbrauchen gefälschte Anmeldeaufforderungen und OAuth-Flows, um Authentifizierungstoken zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen. Nutzer müssen wachsam sein und verdächtige Anfragen genau prüfen, um sich vor diesen raffinierten Phishing-Methoden zu schützen.
Organisationen, die Microsoft 365 nutzen, insbesondere solche, die auf Active Directory basieren. Die Energiebranche wird explizit erwähnt.
Diese Angriffe umgehen die Multi-Faktor-Authentifizierung (MFA), eine gängige und oft als robust angesehene Sicherheitsmaßnahme. Der schnelle Konten-Hijack ermöglicht Angreifern sofortigen Zugriff auf sensible Daten und Systeme.
Ein Angreifer erlangt vollständigen Zugriff auf ein Microsoft 365-Konto, umgeht MFA und kann im Namen des Nutzers agieren, Daten exfiltrieren oder weitere Angriffe innerhalb der Organisation starten, bevor der Vorfall erkannt wird.
Implementierung robuster Sicherheitsschulungen für Benutzer, die auf die Erkennung von Phishing-Versuchen, insbesondere gefälschten Anmeldeaufforderungen und OAuth-Flows, abzielen. Überprüfung und Stärkung der Konfigurationen für Microsoft 365 und Active Directory.
- ▸Überprüfen Sie die Protokolle auf ungewöhnliche oder wiederholte OAuth-Zustimmungsanfragen, insbesondere von unbekannten oder verdächtigen Anwendungen.
- ▸Simulieren Sie Phishing-Angriffe, die gefälschte Microsoft 365-Anmeldeaufforderungen und OAuth-Zustimmungsanfragen verwenden, um die Benutzererkennung zu testen.
- ▸Überprüfen Sie die Richtlinien für bedingten Zugriff in Microsoft 365 und Active Directory, um sicherzustellen, dass nur vertrauenswürdige Geräte und Standorte Zugriff erhalten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Cyberkriminelle nutzen 'ConsentFix'- und 'ClickFix'-Angriffe, um in Sekundenschnelle Microsoft 365-Konten zu kapern. Dabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht. |
| Defense Evasion | T1556 Bypass Multi-Factor Authentication | High | Dabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht, um Authentifizierungstoken zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen. |
| Credential Access | T1528 Steal Application Access Token | High | Dabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht, um Authentifizierungstoken zu stehlen. |
- Spezifische CVEs oder IOCs werden im Artikel nicht genannt.
- Die genaue technische Implementierung der 'ConsentFix'- und 'ClickFix'-Methoden wird nicht detailliert beschrieben.
- Es werden keine spezifischen betroffenen Länder oder Regionen genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Sind wir hiervon betroffen — und können wir es detektieren?