ConsentFix: ataque OAuth engana fluxos do Microsoft Entra

Pesquisadores documentaram o ConsentFix: ataque OAuth que usa fluxos legítimos do Microsoft Entra para extrair códigos de autorização expostos em páginas de erro e permitir que invasores resgatem tokens, contornando Conditional Access. A detecção depende de correlação entre sign‑ins interativos e não interativos na janela de validade do código (~10 minutos).

Pesquisadores descreveram uma técnica que explora fluxos legítimos de OAuth para roubar códigos de autorização do Microsoft Entra, permitindo que invasores troquem esses códigos por tokens com controles de acesso aparentemente contornados.

O que foi observado

Relatório da Cyber Security News, citando análise da Glueck Kanja, descreve o método batizado de ConsentFix. O ataque cria URLs de login do Microsoft Entra especialmente forjadas que apontam para aplicações como o Azure CLI e o Azure Resource Manager e são distribuídas em campanhas de phishing.

Vetor e exploração

O usuário é induzido a abrir uma URL maliciosa de autenticação do Entra e realiza o login normalmente.
O navegador é redirecionado para um endereço de retorno que não possui um serviço escutando (localhost ou similar), o que resulta numa página de erro.
A página de erro, contudo, contém o código de autorização sensível embutido na URL de redirecionamento.
O atacante instrui a vítima, por técnicas de engenharia social, a copiar/colar esse código (por exemplo via drag-and-drop), permitindo que o invasor o use para obter tokens de acesso.

Efeito sobre controles existentes

Glueck Kanja observou que ConsentFix pode contornar políticas de Conditional Access e requisitos de conformidade de dispositivo, porque o fluxo autentica o usuário de forma legítima e o ataque depende da extração do código presente no erro de redirecionamento. Ou seja, medidas que bloqueiam sessões não autorizadas podem não detectar o abuso se o atacante decidir imediatamente resgatar o código.

Detecção e indicadores

O artigo detalha sinais práticos para equipes de deteção: nos logs de sign‑in do Azure aparecerão duas entradas distintas da mesma sessão. A primeira é um sign‑in interativo do usuário (origem legítima). A segunda aparece como um sign‑in não interativo, proveniente da infraestrutura do atacante, quando este troca o código por tokens.

Correlação útil: SessionID, ApplicationID e UserID coincidentes entre os dois eventos dentro da janela de validade do código (aproximadamente 10 minutos).
Diferença de endereço IP entre os eventos é um indicador esperado.
Filtrar falsos positivos: automações legítimas (por ex. GitHub Codespaces) realizam esse ciclo em segundos; detecções devem considerar tempo entre eventos e padrão de IPs.

O que falta e recomendações operacionais

Não há, no material consultado, relatório público de exploração em larga escala nem um indicador de campanha atribuível a um ator específico. Também não há mitigação técnica única indicada além de correções de processo e monitoramento aprimorado.

Recomendações práticas extraídas da cobertura:

Monitorar correlações entre eventos de autenticação (SessionID/ApplicationID/UserID) e investigar pares com origem IP divergente dentro da janela de 10 minutos.
Adicionar alertas para sign‑ins não interativos que seguem imediatamente sign‑ins interativos para a mesma sessão e aplicação.
Reforçar treinamento anti‑phishing que inclua instruções explícitas para nunca copiar/colar códigos exibidos por páginas de erro de autenticação.
Avaliar políticas de Consent e fluxos de OAuth público/privado, minimizando cenários que exponham códigos em redirects sem proteção.

Conclusão

ConsentFix não explora uma vulnerabilidade de software tradicional, mas uma combinação de fluxo legítimo de OAuth e engenharia social que aumenta o risco em ambientes cloud bem protegidos. Defensores devem priorizar monitoramento de logs de autenticação e treinamento de usuários; falta, nas fontes, evidência de exploração massiva até o momento.