Skip to main content

ConsentFix ja ClickFix -hyökkäykset kaappaavat Microsoft 365 -tilit nopeasti väärennetyillä kehotteilla ja OAuth-kuluilla. Monivaiheisen todennuksen kierto toteutuu hetkessä, vaatien välitöntä reagointia.

Uudet ConsentFix ja ClickFix -hyökkäykset ovat osoittautuneet vaarallisen nopeiksi tavoiksi kaapata Microsoft 365 -tilejä. Hyökkääjät käyttävät sosiaalista manipulointia ja hyväksikäyttävät Microsoftin omia OAuth-valtuutusvirtoja, jotta uhrin tarvitsee vain hyväksyä haitallinen sovellusluvan pyyntö. Tämä mahdollistaa hyökkääjän pääsyn uhrin sähköpostiin, tiedostoihin ja muihin arkaluonteisiin tietoihin millisekunneissa.

Hyökkäykset hyödyntävät sitä, että käyttäjä voi antaa sovellukselle oikeuksia päästä Microsoft 365 -palveluihin. ConsentFix keskittyy erityisesti oikeuden pyytämiseen "offline_access"-luvalle, jolla hyökkääjä voi jatkaa pääsyn ylläpitämistä vaikka käyttäjä olisi kirjautunut ulos tai vaihtanut salasanaansa. ClickFix puolestaan naamioi haitallisen pyynnön lailliseksi prosessiksi, joka vaatii nopeaa reaktiota ja käyttäjän hyväksyntää, ohittaen tehokkaasti jopa monivaiheisen todennuksen.

Nämä menetelmät ovat huolestuttavia, sillä ne mahdollistavat nopean ja lähes huomaamattoman tunnusten varastamisen ilman perinteisten tietojenkalastelu- tai haittaohjelmien käyttöä. Kun hyökkääjä on saanut tarvittavat oikeudet, hän voi esimerkiksi lähettää sähköpostia uhrin nimissä, lukea arkaluonteisia viestejä tai jopa muokata ja ladata tiedostoja.

Puolustautuminen näitä hyökkäyksiä vastaan vaatii tietoisuutta sekä teknisiä suojatoimia. Organisaatioiden tulisi tarkistaa ja rajoittaa asennettavien OAuth-sovellusten oikeuksia, kouluttaa käyttäjiä tunnistamaan epäilyttävät pyynnöt ja harkita tarkempia auditointilokeja sovellusvaltuuksien muutoksista. Erityisen tärkeää on seurata epätavallisia `offline_access`-valtuutuksia ja pyydettyjen oikeuksien laajuutta.

Tärkeimmät pointit

  • ConsentFix ja ClickFix hyökkäävät Microsoft 365 -tileihin hyödyntämällä OAuth-valtuutusvirtoja.
  • Hyökkäykset voivat kaapata tilin sekunneissa ilman perinteistä tietojenkalastelua.
  • ConsentFix hyödyntää `offline_access`-valtuutusta pysyvän pääsyn varmistamiseksi.
  • ClickFix naamioi haitalliset oikeuspyynnöt osaksi normaalia prosessia.
  • Hyökkäykset pystyvät ohittamaan monivaiheisen todennuksen (MFA) hyväksymällä haitallisen sovelluksen.
  • Varastetut tunnukset mahdollistavat pääsyn sähköposteihin, tiedostoihin ja muihin palveluihin.
  • Suositeltavia torjuntakeinoja ovat sovellusvaltuuksien rajoittaminen ja käyttäjäkoulutus.

Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 2.7.2026