Peneliti keamanan siber mengungkap teknik serangan baru bernama ConsentFix yang mampu mengambil alih akun Microsoft tanpa memerlukan kata sandi maupun melewati verifikasi multi-factor authentication (MFA). Metode ini merupakan varian lanjutan dari serangan rekayasa sosial ClickFix dan memanfaatkan aplikasi OAuth resmi Azure CLI.
ClickFix sendiri dikenal sebagai teknik manipulasi psikologis yang menipu korban agar menjalankan perintah tertentu di perangkat mereka. Biasanya, korban diarahkan melalui instruksi palsu yang seolah-olah bertujuan memperbaiki kesalahan sistem atau memverifikasi bahwa pengguna adalah manusia, bukan bot.
Dalam varian ConsentFix, pelaku menyalahgunakan alur autentikasi OAuth Azure CLI untuk mencuri kode otorisasi OAuth 2.0. Kode ini kemudian digunakan untuk memperoleh token akses Azure CLI, yang memberikan kendali penuh atas akun Microsoft korban.
Azure CLI adalah aplikasi command-line resmi Microsoft yang memungkinkan pengguna mengelola layanan Azure dan Microsoft 365 melalui autentikasi OAuth. Pada kampanye ini, korban diarahkan untuk menyelesaikan proses login Azure CLI yang sah, namun kode otorisasi yang dihasilkan justru dicuri dan disalahgunakan oleh penyerang.
Alur Serangan ConsentFix
Serangan dimulai ketika korban mengunjungi situs web sah yang telah disusupi dan memiliki peringkat tinggi di hasil pencarian Google untuk kata kunci tertentu. Di halaman tersebut, korban disajikan widget CAPTCHA Cloudflare Turnstile palsu yang meminta alamat email bisnis.
Skrip penyerang kemudian memverifikasi alamat email tersebut terhadap daftar target yang telah ditentukan, sekaligus menyaring bot, analis keamanan, dan pengunjung yang tidak diinginkan. Korban yang lolos seleksi akan diarahkan ke halaman lanjutan dengan pola interaksi khas ClickFix.
Pada tahap ini, korban diminta mengklik tombol “Sign in” untuk membuktikan bahwa mereka adalah manusia. Tombol tersebut membuka halaman login Microsoft yang sah di tab baru, namun bukan halaman login biasa. Yang ditampilkan adalah halaman autentikasi Azure CLI yang digunakan untuk menghasilkan kode akses OAuth.
Jika korban sudah memiliki sesi login aktif di akun Microsoft mereka, proses ini hanya memerlukan pemilihan akun. Jika belum, korban akan diminta login seperti biasa melalui halaman resmi Microsoft. Setelah autentikasi berhasil, sistem akan mengarahkan pengguna ke halaman localhost, dengan URL di bilah alamat yang berisi kode otorisasi OAuth Azure CLI.
Tahap akhir serangan terjadi ketika korban, mengikuti instruksi di halaman palsu sebelumnya, menyalin dan menempelkan URL tersebut ke halaman berbahaya. Dengan langkah ini, korban tanpa sadar memberikan akses penuh ke akun Microsoft mereka melalui aplikasi OAuth Azure CLI.
Menurut peneliti, setelah proses ini selesai, penyerang memiliki kendali efektif atas akun korban tanpa pernah mencuri kata sandi atau melewati pemeriksaan MFA. Bahkan, jika korban sudah login sebelumnya, tidak ada proses autentikasi tambahan yang diperlukan sama sekali.
Menariknya, serangan ini dirancang hanya aktif satu kali untuk setiap alamat IP korban. Jika korban kembali mengunjungi halaman phishing yang sama, mekanisme CAPTCHA palsu tidak akan muncul kembali.
Rekomendasi Mitigasi
Untuk mendeteksi dan mencegah serangan ConsentFix, tim keamanan disarankan memantau aktivitas login Azure CLI yang tidak biasa, terutama dari alamat IP baru atau lokasi yang tidak dikenal. Selain itu, pemantauan terhadap penggunaan legacy Graph scopes juga penting, karena teknik ini sengaja dimanfaatkan penyerang untuk menghindari deteksi sistem keamanan modern.