Son zamanlarda, dijital güvenliğin tehditleri arasında kendine yer bulmuş olan yeni bir saldırı türü ortaya çıktı: ConsentFix. Bu saldırı türü, Azure CLI OAuth uygulamasını istismar ederek Microsoft hesaplarını şifre veya çok faktörlü kimlik doğrulama (MFA) aşmak zorunda kalmadan ele geçirmeyi mümkün kılıyor.
ConsentFix Saldırısının Önemi
ConsentFix, ClickFix saldırısının yeni bir varyasyonudur. ClickFix, sosyal mühendislik tekniği kullanarak kullanıcıları bilgisayarlarından komut çalıştırmaya yönlendiren bir saldırı türüdür. Bu komutlar genellikle sahte hata düzeltme veya insan doğrulama iddiasıyla kullanıcılara sunuluyor. Push Security adlı siber güvenlik firması tarafından keşfedilen ConsentFix, OAuth 2.0 yetkilendirme kodlarını çalarak kullanıcıların Azure CLI erişim token’ı almasını sağlıyor.
Azure CLI ve Saldırı Akışı
Azure CLI, Microsoft’un gelir kaynaklarını yönetmek için kullanılan bir komut satırı uygulamasıdır. Saldırganlar, kullanıcıların bu uygulama aracılığıyla kimlik doğrulama sürecini tamamlamalarını sağlayarak, elde ettikleri yetkilendirme kodlarını kullanarak tam hesap erişimi sağlıyorlar. Bu süreç, kullanıcıların şifrelerini ve MFA yöntemlerini atlamalarına olanak tanıyor.
ConsentFix saldırısı, hedef kullanıcının bozulmuş bir web sitesine düşmesiyle başlıyor. Bu web sitesi, belirli anahtar kelimelerle arama motorlarında yüksek sıralarda yer alarak kullanıcıları çekiyor. Kullanıcı sahte bir Cloudflare Turnstile CAPTCHA widget’ı ile karşılaşıyor ve geçerli bir iş e-posta adresi girmesi isteniyor. Bu adres, saldırganın hedef listesiyle karşılaştırılıyor ve geçerli hedefler dışında kalanlar eleniyor.
Sahte Doğrulama Süreci
Geçerli olan kullanıcılar, ClickFix benzeri bir sayfayla karşılaşıyor. Bu sayfada, kullanıcıların insan olduğunu doğrulamak için bir “Giriş Yap” butonuna tıklamaları isteniyor. Bu işlem, kullanıcının bir Microsoft URL’sinde oturum açmasını sağlıyor, ancak bu aslında sıradan bir Microsoft giriş sayfası değil; Azure CLI için oluşturulmuş bir giriş sayfası. Kullanıcı buradan gerekli kimlik doğrulama süreçlerini tamamlayarak, bir yerel sunucuya yönlendiriliyor.
Bu aşamadan sonra, tarayıcı adres çubuğunda, kullanıcının hesabına bağlı bir Azure CLI OAuth yetkilendirme kodunu içeren bir URL görüntüleniyor. Kullanıcının bu URL’yi tekrar sahte sayfaya yapıştırması, saldırganın Microsoft hesaplarına doğrudan erişim kazanmasını sağlıyor.
Korunma Yöntemleri
Push Security, bu saldırının yalnızca her bir hedef IP adresi için bir kez tetiklendiğini belirtiyor. Bu nedenle, hedefler aynı sahte sayfaya dönerse Cloudflare Turnstile kontrolünden geçmeyecekler. Saldırganlar, eski Graph kapsamlarını kullanarak tespit edilmeden daha fazla hareket etme şansını artırıyorlar. Bu sebeple, sistem yöneticilerinin dikkat etmesi gereken noktalar arasında alışılmadık Azure CLI giriş aktiviteleri, yeni IP adreslerinden gelen girişler ve eski Graph kapsamları yer alıyor.
Siber güvenlik açısından bu tür saldırılara karşı bilinçlenmek ve korunma yöntemlerini uygulamak hayati önem taşıyor. Kullanıcıların ve şirketlerin güvenlik protokollerini güçlendirmesi gerekirken, potansiyel tehditler karşısında dikkatli olmaları şarttır.
