研究人员在Push Security观察到一个ClickFix攻击的新变种，它结合了“OAuth同意钓鱼和一个导致账户被接管的ClickFix式用户提示”。 这种被研究人员称为“ConsentFix”的技术，诱骗受害者复制并粘贴一个包含授权令牌的本地主机URL，然后将其粘贴到钓鱼页面。 “授权码流程是OAuth 2.0协议中供Web应用程序获取用户访问受保护资源许可的一种方式，”研究人员解释道。“当使用授权码流程连接应用时，应用会将授权码与其持有的一个OAuth密钥结合，以换取令牌（即有价值的部分）。然而，有些应用无法保护密钥——例如，在您的移动设备或桌面上运行的应用。在这种情况下，仅凭授权码就足以生成OAuth令牌，无需密钥——这正是此处被利用的漏洞。” 在Push Security观察到的攻击中，威胁行为者滥用Azure CLI OAuth应用来针对微软账户。 “本质上，攻击者通过生成一个OAuth授权码（在本地主机URL中可见），并诱骗受害者将其粘贴到攻击者控制的页面，从而让受害者登录Azure CLI，”研究人员写道。“这随后会在受害者的微软账户和攻击者的Azure CLI实例之间建立一个OAuth连接。” Push Security指出，这些攻击非常难以阻断，因为它们依赖于合法的工具和社交工程策略：

• “攻击完全发生在浏览器上下文内部，消除了ClickFix的一个关键检测机会（因为它不触及端点）。
• “通过Google搜索水坑攻击传递诱饵，完全绕过了基于电子邮件的反钓鱼控制。
• “针对像Azure CLI这样的第一方应用意味着，许多可用于第三方应用集成的缓解措施在此并不适用——使得这种攻击更难预防。
• “因为不需要登录，像通行密钥这样的防钓鱼身份验证控制对此攻击没有影响。”

KnowBe4授权您的员工每天做出更明智的安全决策。全球超过70,000个组织信任KnowBe4 HRM+平台来加强其安全文化并降低人为风险。 这是Push Security关于ClickFix攻击新变种的研究。