Sebuah jenis serangan siber baru yang dijuluki ConsentFix v3 dilaporkan tengah beredar luas di forum-forum peretas. Teknik mutakhir ini hadir sebagai metode penyempurnaan yang mengotomatiskan serangan manipulatif terhadap lingkungan Microsoft Azure.
Versi pertama ConsentFix awalnya dipresentasikan oleh firma keamanan Push Security pada Desember tahun lalu sebagai variasi dari ClickFix untuk serangan phishing berbasis OAuth. Teknik ini mengelabui korban agar menyelesaikan alur masuk (login) Microsoft yang sah melalui Azure CLI. Dengan teknik rekayasa sosial, penyerang menipu korban untuk menempelkan URL localhost yang berisi kode otorisasi OAuth, yang dapat digunakan untuk mendapatkan token dan membajak akun tanpa memerlukan kata sandi—bahkan menembus pertahanan Autentikasi Multi-Faktor (MFA).
Versi ConsentFix v2 kemudian dikembangkan oleh peneliti John Hammond. Ia menyempurnakan versi aslinya dengan mengganti metode salin/tempel manual dengan mekanisme seret-dan-lepas (drag-and-drop) URL localhost, membuat alur penipuan terasa lebih mulus dan meyakinkan.
Kini, ConsentFix v3 mempertahankan ide inti dari penyalahgunaan alur kode otorisasi OAuth2 dan menargetkan aplikasi pihak pertama Microsoft yang sudah dipercaya sebelumnya (pre-trusted). Peningkatan terbesarnya terletak pada penggabungan otomatisasi dan skalabilitas.
Alur Serangan ConsentFix v3
Berdasarkan informasi yang dihimpun dari forum peretas, serangan ini dimulai dengan tahap pengintaian: memverifikasi keberadaan Azure di lingkungan target dengan memeriksa ID tenant yang valid. Langkah ini diikuti dengan pengumpulan detail karyawan (seperti nama, peran, dan alamat email) untuk mendukung penyamaran.
Selanjutnya, penyerang membuat banyak akun di berbagai layanan sah seperti Outlook, Tutanota, Cloudflare, DocSend, Hunter.io, dan Pipedream untuk mendukung operasi penampungan data.
Peneliti Push Security menjelaskan bahwa Pipedream (sebuah platform integrasi nirserver/ serverless gratis) memainkan peran sentral dalam mengotomatiskan serangan ini, melayani tiga peran penting:
- Sebagai titik akhir (endpoint) webhook yang menerima kode otorisasi korban.
- Sebagai mesin otomatisasi yang segera menukarkan kode tersebut dengan token penyegaran (refresh token) melalui API Microsoft.
- Sebagai kolektor pusat yang menyediakan token yang ditangkap kepada penyerang secara real-time.
Dalam fase eksekusi, penyerang menyebarkan halaman phishing yang di-hosting di Cloudflare Pages yang meniru antarmuka Microsoft/Azure secara identik. Ketika korban berinteraksi dengan halaman tersebut, mereka diarahkan ke URL localhost berisi kode otorisasi OAuth, dan dijebak untuk menempelkan atau menyeretnya kembali ke halaman phishing. Email phishing ini juga bisa sangat dipersonalisasi dan menyematkan tautan berbahaya di dalam PDF yang di-hosting di DocSend guna menghindari penyaringan spam.
Pasca-Eksploitasi dan Mitigasi
Pada tahap pasca-eksploitasi, token yang berhasil diperoleh diimpor ke Specter Portal. Hal ini memungkinkan penyerang untuk berinteraksi langsung dengan lingkungan Microsoft yang disusupi dan mengakses sumber daya yang diizinkan oleh token tersebut (seperti email, file sensitif, dan layanan lain yang tertaut).
Push Security mencatat bahwa mitigasi risiko ConsentFix cukup rumit karena kepercayaan pada aplikasi pihak pertama bersifat arsitektural. Penggunaan Family of Client IDs (FOCI)—aplikasi Microsoft yang berbagi izin dan token—pada dasarnya sangat berguna untuk produktivitas.
Namun, masih ada langkah krusial yang dapat diambil oleh administrator TI untuk menekan risiko:
- Menerapkan pengikatan token (token binding) hanya ke perangkat yang tepercaya.
- Menyiapkan aturan deteksi anomali berbasis perilaku (behavioral detection).
- Menerapkan batasan autentikasi aplikasi yang lebih ketat.
Meskipun serangan ConsentFix telah terdeteksi dalam kampanye di dunia nyata, masih belum jelas seberapa luas adopsi varian v3 ini di kalangan penjahat siber arus utama.