Azure CLI 工具成為駭客破口!本文拆解新的惡意攻擊手法ConsentFix,駭客如何藉由偽造驗證及複製網址,免密碼繞過 MFA。並提供防範駭客透過ConsentFix攻擊取得微軟帳戶控制權的心法,助企業守護雲端資安。


Microsoft Azure 是由微軟提供的雲端運算平台,主要用來讓企業或開發者在不需自行建置實體硬體設備的情況下,可以依照需求取得各類 IT 資源,例如虛擬機、儲存空間、資料庫與應用服務等,其本質是一個可彈性擴展且依使用量計費的基礎設施與平台環境,使用者可以將其理解為一個集中管理的大型資料中心集合,並透過網路遠端操作與管理。


Azure CLI 則是 Azure 所提供的一種命令列工具,讓使用者能夠以指令方式建立、查詢、修改或刪除各種雲端資源,相較於圖形化介面,其優勢在於可自動化、可腳本化以及更高效率的批次操作,特別適合用於系統部署與維運場景;在實際運作上,Azure CLI 並非直接操作資源本身,而是將使用者輸入的指令轉換為對 Azure Resource Manager API 的呼叫,因此其本質是一個與雲端服務溝通的中介工具。


而在這個溝通過程中,身分驗證與授權是不可或缺的環節,這部分通常透過 OAuth 2.0 機制實現,當使用者執行登入時,系統會導向身分提供者進行驗證,並在成功後取得一組具有時效性的存取權杖(Access Token),後續所有透過 CLI 發出的請求都會附帶該權杖,以證明請求者的身份與權限,從而避免在每次操作時重複傳遞帳號密碼並提升安全性。


就是如此安全的流程,也還是會成為駭客攻擊的目標。以下來說明駭客透過Azure CLI 竊取 Microsoft 帳密的攻擊案例:


一、新的惡意攻擊手法 ConsentFix

ConsentFix攻擊,它透過誘騙受害者將包含OAuth密鑰資訊的URL複製貼上到釣魚頁面,從而竊取目標應用程式上的OAuth密鑰。發現目前的攻擊針對微軟帳戶,利用 Azure CLI OAuth 應用程式進行攻擊。駭客首先誘騙受害者登入 Azure CLI,然後將該 URL(包括授權碼)貼到駭客控制的頁面中。這樣便會在被害者的微軟帳號和駭客的 Azure CLI 執行個體之間建立 OAuth 連線取得被害者帳戶控制權。


二、驗證被害者郵件並要求被害者輸入公司郵件地址

調查中發現駭客會透過各種管道(如:發送釣魚郵件、投放惡意廣告或社群媒體連結等..。駭客在網站中夾帶偽造的 Cloudflare Turnstile,要求使用者提供電子郵件地址才能繼續。


駭客製作偽造Cloudflare Turnstile頁面,要求輸入有效的email

駭客製作偽造Cloudflare Turnstile頁面,要求輸入有效的email


頁面會自動偵測是否輸入為個人電子郵件,會提示要求輸入為公司電子郵件。輸入已驗證的電子郵件地址後,頁面會跳到下一階段,提示被害者在頁面上完成一系列操作才能繼續。


如果輸入為個人電子郵件,頁面會提示輸入公司電子郵件

如果輸入為個人電子郵件,頁面會提示輸入公司電子郵件


輸入已驗證的電子郵件地址後,頁面會跳到下一階段,提示被害者在頁面上完成一系列操作才能繼續。


頁面提示被害者完成更進一步的驗證程序

頁面提示被害者完成更進一步的驗證程序


三、驗證郵件後利用ConsentFix進行惡意攻擊取得帳號控制權限

成功驗證郵件後,會轉跳至ConsentFix攻擊頁面,讓被害者依照頁面指示進行操作:


(一) 首先會請被害者點擊”登入”按鈕。將會開啟一個新分頁,載入及存取被害者帳戶/電子郵件關聯的合法微軟網址。

(二) 如被害者已在瀏覽器中登入微軟帳戶,只需從下拉式選單中選擇其微軟帳戶即可。否則,他們需要透過合法的微軟登入網址登入(此階段不會發生任何網路釣魚)。

(三) 一旦登入正版 Microsoft 帳戶或從下拉清單中選擇帳戶,使用者將被重定向到localhost,這將產生一個包含與使用者的Microsoft帳戶關聯的程式碼的URL

(四) 為了完成網路釣魚攻擊,會要求被害者會複製網址並將其貼到原始頁面上的網址輸入列,一旦填入被害者的帳號權限就會被駭客取得。


ConsentFix攻擊,被害者依照指示操作讓駭客取得帳號控制權限

ConsentFix攻擊,被害者依照指示操作讓駭客取得帳號控制權限


完成這些步驟後,被害者就透過Azure CLI授予駭客對其Microsoft帳戶的存取權。此時,駭客無需竊取密碼或通過多因素身份驗證(MFA)方式,就已取得被害者的微軟帳戶控制權,後果將不可想像。


駭客取得被害者相關Azure CLI裡client_id相關資訊

駭客取得被害者相關Azure CLI裡client_id相關資訊


四、流程圖


流程圖


五、防範駭客透過 ConsentFix 攻擊取得微軟帳戶控制權

(一) 當點擊的網頁強制要求企業信箱的作為驗證時,就要有所警惕,很有可能就是在竊取相關的商業資訊,最好是不要再進行後續的動作。

(二) 當發現網頁有異常的「複製貼上」或「拖曳」網址要求要特留意,這是此攻擊最核心的特徵。釣魚網頁會誘騙使用者點擊登入(開啟合法的微軟登入頁面),隨後產生一個帶有OAuth授權碼的localhost網址。網頁會用社交工程手段,要求使用者將這段網址「複製並貼上」到釣魚頁面中。只要被害者執行了這個動作,帳號權限就會被駭客取得。

(三) 定期員工資安訓練或請外部資安專家安排訓練課程,讓員工學習辨識更多的惡意攻擊手法。


有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!

參考資料:

1. https://www.ithome.com.tw/news/172800 

2. https://pushsecurity.com/blog/consentfix/