文章总结： ConsentFix是一种新型OAuth令牌钓鱼攻击，通过诱骗用户复制粘贴含授权码的URL来窃取身份验证令牌。攻击者利用合法的Microsoft登录页面获取用户信任，然后通过重定向到localhost捕获授权码，进而交换访问令牌。文章展示了攻击流程并指出条件访问策略存在缺陷，同时提供了检测建议。 综合评分： 87 文章分类： 威胁情报,漏洞分析,WEB安全,安全意识,社会工程学

ConsentFix：一种新的令牌钓鱼攻击方式

Ots安全

2025年12月19日 12:18 广东

威胁简报

恶意软件

漏洞攻击

引言

上周，我们的合作伙伴Push Security发布了一篇博文，介绍了一种他们近期发现的新型网络钓鱼技术。这种名为 ConsentFix 的技术与 ClickFix 和 FileFix 类似，都是诱骗用户进行复制粘贴操作，但 ConsentFix 的目的是窃取用于身份验证的 OAuth 令牌。Push Security 的博文详细介绍了该技术的诸多细节，以及 OAuth 的相关基础知识，因此我不再赘述。

相反，我打算在我的实验室中重现攻击者的活动，看看会产生哪些遥测数据，以及可以采取哪些检测/搜寻措施。

攻击复制

我创建了一个简单的钓鱼页面，用来模拟 Push 在真实攻击中遇到的情况。这个钓鱼页面首先要求用户输入一个有效的电子邮件地址，该地址必须与列表中的某个地址匹配。这意味着只有受害者的电子邮件地址才能进入下一阶段。我将其作为一个简单的 HTML 页面托管在 CloudFlare 上。

图 1：钓鱼页面验证

随后，用户会被指示登录其微软帐户，复制地址栏中的 URL 并将其粘贴到文本框中。页面会告知用户与本地主机的连接将会失败。在实际场景中，钓鱼页面和指示会更具迷惑性！

图 2：钓鱼页面登录

点击“使用 Microsoft 登录”按钮后，用户将进入官方的 Microsoft 登录门户。正如 Push 博客中所述，如果用户已登录，则无需输入任何凭据。这可以减少用户需要执行的操作，从而增强用户的信任感。

图 3：钓鱼页面登录

让我们快速看一下我们正在访问的微软网址。

https://login.microsoftonline.com/common/oauth2/authorize?client_id=04b07795-8ddb-461a-bbee-02f9e1bf7b46&response_type=code&redirect_uri=http://localhost&resource=https://management.azure.com/&state=REDACTED&prompt=select_account

URL 的第一部分是典型的 MS 身份验证端点。

• https://login.microsoftonline.com/common/oauth2/authorize

下一部分是我们要进行身份验证的客户端 ID，在本例中是 Microsoft Azure CLI：

• client_id=04b07795-8ddb-461a-bbee-02f9e1bf7b46

接下来，response_type 值告诉微软使用 OAuth 授权码流程。

• response_type=code

重定向 URI 是一个关键元素，它会将请求重定向到本地主机，我们将在下文中详细介绍。

• redirect_uri= http://localhost

接下来定义的是我们要请求访问的资源，即 Azure 管理，它赋予我们所需的 API 权限。

• resource=https://management.azure.com/

最后，我们提示用户使用 Windows 登录中的“帐户选择器”选项，允许用户选择他们已登录的帐户。

• prompt=select_account

现在回到攻击流程。由于我们重定向到本地主机，因此会遇到连接被拒绝的页面。但是请注意下图中的 URL 内容，其中包含授权码。

图 4：钓鱼页面登录

用户复制此 URL 并将其粘贴到文本框中，然后单击“下一步”，代码就会发送到我们的 C2 服务器。

图 5：钓鱼页面代码捕获

在这种情况下，我们使用 NGrok，它监听攻击者机器上的本地端口。当用户提交 URL 时，网页会向我们的 NGrok URL/交换机发送 POST 请求，该请求会被转发到我们的本地主机。

图 6：Ngrok 聆听

从这里我们获取授权码，然后用它交换访问令牌。

图 7：代币兑换

然后，访问令牌和刷新令牌对会被写入一个文件，该文件可用于后续操作。

图 8：令牌对

接下来，我们可以利用攻击者机器上的这些令牌做任何我们想做的事情。以下是一个基本枚举的示例：

图 9：令牌使用情况

瞧，只需简单的复制粘贴钓鱼邮件，就能入侵我们的 Azure 环境。你现在可能在想：“但我设置了条件访问，应该很安全吧！”。别急，再想想！

条件访问缺陷

正如我在之前的博客中提到的- https://newtonpaul.com/blog/entra-token-theft-examples-and-detections，条件访问在使用访问令牌/持有者令牌时存在缺陷。我们沿用了之前博客中提到的条件访问策略，即要求设备必须符合规范。此外，我们也启用了令牌保护，但这导致应用程序崩溃，无法通过身份验证访问 Azure CLI。这是因为 Azure CLI 并非令牌保护支持的应用程序，完整列表请参见我之前的博客。

深入了解遥测技术

用户首次登录是合法的，登录到 Microsoft 身份验证页面，但该登录是由钓鱼页面触发的。我们可以看到传入的令牌是 PRT 令牌，并且绑定到符合规范的用户设备。由于这是一次交互式登录，用户生成了可供攻击者窃取的授权码，因此该事件会记录在 Entra 的 SigninLogs 中。

{
  "TimeGenerated": "17/12/2025, 13:56:06.000",
"AADIPAddress": "86.142.241.139",
"DeviceCompliance": true,
"AADLocation": "GB",
"AADASN": 2856,
"CIDRASNName": "British Telecommunications PLC",
"DeviceName": "HUNTERWORK",
"signInSessionStatus": "bound",
"IncomingTokenType": "primaryRefreshToken",
"UniqueTokenIdentifier": "IgfBgHoZq0Gck8I1l_ATAA",
"Identity": "Hunter",
"AppDisplayName": "Microsoft Azure CLI",
"ResourceDisplayName": "Azure Resource Manager"
}

现在，第二个身份验证实例是攻击者，它使用了生成的访问令牌。这些令牌是通过获取授权码获得的，即授权码 > 令牌交换。您会注意到两条日志条目中的令牌标识符不同。这是预期的，因为这里发生的不是令牌窃取，而是窃取的授权码被用来生成新的令牌供攻击者使用。此事件出现在 AADNonInteractiveUserSignInLogs 中，因为它不是用户的交互式登录。您会注意到，发生身份验证会话的设备被列为我们管理的合规设备。这肯定不准确，Entra 再次错误地关联了身份验证会话的设备。这可能与会话 ID 有关，更多信息请参阅之前的帖子https://newtonpaul.com/blog/entra-token-theft-examples-and-detections。

{
  "TimeGenerated": "17/12/2025, 13:57:22.918",
"AADIPAddress": "159.28.115.7",
"DeviceCompliance": true,
"AADLocation": "DK",
"AADASN": 208172,
"CIDRASNName": "Proton AG",
"DeviceName": "HUNTERWORK",
"signInSessionStatus": "unbound",
"UniqueTokenIdentifier": "jWilBfqbmkGjhIKDz7ojAA",
"Identity": "Hunter",
"AppDisplayName": "Microsoft Azure CLI"
}

我们如何检测？

这个漏洞比较难检测，但我们可以尝试几种不同的检测方法。和上次一样，完整的检测逻辑可以在我们的检测代码库中找到-https://newtonpaul.com/hunts。

结语

这是一种非常巧妙且易于实现的技术。我预计未来几周内会看到更多实际应用案例。最难的一步是让用户复制粘贴 URL！另一个尚未提及的检测方法是在 XDR 日志的 EmailUrlInfo 中查找微软身份验证 URL。

下次再见！

资源

• https://pushsecurity.com/blog/consentfix

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

查看原文：《ConsentFix：一种新的令牌钓鱼攻击方式》