SecBoard
Zurück zur Übersicht

ConsentFix and ClickFix: How Microsoft 365 Accounts are Hijacked in 3 Seconds

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Cyberkriminelle nutzen "ConsentFix"- und "ClickFix"-Angriffe, um in Sekundenschnelle Microsoft 365-Konten zu kapern. Dabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht, um Authentifizierungstoken zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen. Nutzer sollten wachsam sein und verdächtige Anfragen genau prüfen, um sich vor diesen raffinierten Phishing-Methoden zu schützen.

Kurzfassung

Cyberkriminelle nutzen "ConsentFix"- und "ClickFix"-Angriffe, um Microsoft 365-Konten in Sekundenschnelle zu kapern. Diese Angriffe missbrauchen gefälschte Anmeldeaufforderungen und OAuth-Flows, um Authentifizierungstoken zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen. Nutzer müssen wachsam sein und verdächtige Anfragen genau prüfen, um sich vor diesen raffinierten Phishing-Methoden zu schützen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen, die Microsoft 365 nutzen, insbesondere solche, die auf Active Directory basieren. Die Energiebranche wird explizit erwähnt.

Warum relevant

Diese Angriffe umgehen die Multi-Faktor-Authentifizierung (MFA), eine gängige und oft als robust angesehene Sicherheitsmaßnahme. Der schnelle Konten-Hijack ermöglicht Angreifern sofortigen Zugriff auf sensible Daten und Systeme.

Realistisches Worst Case

Ein Angreifer erlangt vollständigen Zugriff auf ein Microsoft 365-Konto, umgeht MFA und kann im Namen des Nutzers agieren, Daten exfiltrieren oder weitere Angriffe innerhalb der Organisation starten, bevor der Vorfall erkannt wird.

Handlungsempfehlung

Implementierung robuster Sicherheitsschulungen für Benutzer, die auf die Erkennung von Phishing-Versuchen, insbesondere gefälschten Anmeldeaufforderungen und OAuth-Flows, abzielen. Überprüfung und Stärkung der Konfigurationen für Microsoft 365 und Active Directory.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Protokolle auf ungewöhnliche oder wiederholte OAuth-Zustimmungsanfragen, insbesondere von unbekannten oder verdächtigen Anwendungen.
  • Simulieren Sie Phishing-Angriffe, die gefälschte Microsoft 365-Anmeldeaufforderungen und OAuth-Zustimmungsanfragen verwenden, um die Benutzererkennung zu testen.
  • Überprüfen Sie die Richtlinien für bedingten Zugriff in Microsoft 365 und Active Directory, um sicherzustellen, dass nur vertrauenswürdige Geräte und Standorte Zugriff erhalten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighCyberkriminelle nutzen 'ConsentFix'- und 'ClickFix'-Angriffe, um in Sekundenschnelle Microsoft 365-Konten zu kapern. Dabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht.
Defense EvasionT1556 Bypass Multi-Factor AuthenticationHighDabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht, um Authentifizierungstoken zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen.
Credential AccessT1528 Steal Application Access TokenHighDabei werden gefälschte Anmeldeaufforderungen und OAuth-Flows missbraucht, um Authentifizierungstoken zu stehlen.
Offene Punkte
  • Spezifische CVEs oder IOCs werden im Artikel nicht genannt.
  • Die genaue technische Implementierung der 'ConsentFix'- und 'ClickFix'-Methoden wird nicht detailliert beschrieben.
  • Es werden keine spezifischen betroffenen Länder oder Regionen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?
Themen
Security