{
“naslov”: “ConsentFix in ClickFix: Kako napadalci v treh sekundah prevzamejo Microsoft 365 račune”,
“podnaslov”: “Novi napadalni tehniki ConsentFix in ClickFix izkoriščata lažne pozive in OAuth tokene za izogibanje večfaktorski avtentikaciji. Organizacije morajo takoj pregledati dovoljenja tretjih aplikacij.”,
“vsebina_html”: “
Varnostni raziskovalci so odkrili dve novi tehniki napada, ki ju imenujemo ConsentFix in ClickFix, ki napadalcem omogočata prevzem Microsoft 365 računov v zgolj nekaj sekundah – ne glede na to, ali je večfaktorska avtentikacija (MFA) vklopljena ali ne. Gre za resno grožnjo za podjetja in organizacije, ki se zanašajo na Microsoftov oblak.
Tehnika ClickFix je že dlje časa znana v varnostnih krogih, zdaj pa je dobila novo, nevarnejšo sestro. Napadi delujejo na principu socialnega inženiringa – žrtev se prepriča, da klikne na lažni poziv, ki posnema zakonita sistemska obvestila ali pozive za posodobitev. Ko žrtev ukrepa, napadalec v ozadju pridobi veljavni sejni žeton (session token), s katerim prevzame dostop do računa brez potrebe po geslu ali kodi MFA.
ConsentFix gre korak dlje in izkorišča OAuth 2.0 avtorizacijski tok. Napadalci ustvarijo zlonamerne aplikacije tretjih oseb, ki od žrtve zahtevajo soglasje za dostop do Microsoft 365 storitev. Ko uporabnik potrdi zahtevo – kar se zdi povsem legitimno –, napadalec pridobi dolgoročni dostopni žeton, ki mu omogoča branje e-pošte, dostop do datotek v SharePointu, Teams pogovorov in drugega občutljivega gradiva, pogosto brez da bi žrtev sploh opazila nepooblaščen dostop.
Ključna nevarnost obeh tehnik je v tem, da popolnoma zaobideta MFA. Ker napadalci pridobijo veljavne tokene namesto gesel, jih dodatna avtentikacijska plast preprosto ne zaustavi. To pomeni, da organizacije, ki menijo, da so zavarovane z MFA, dejansko niso imune na te napade.
Za zaščito pred ConsentFix in ClickFix napadi varnostni strokovnjaki priporočajo več ukrepov. Najprej je treba omejiti soglasja za OAuth aplikacije – v Azure Active Directory oziroma Microsoft Entra ID naj skrbniki onemogočijo možnost, da končni uporabniki sami potrjujejo dostop za aplikacije tretjih oseb. Vse take zahteve naj gredo skozi postopek odobritve s strani skrbnika. Poleg tega je priporočljivo redno pregledovati seznam pooblaščenih aplikacij in preklicati dostop vsem sumljivim ali neuporabljenim aplikacijam.
Organizacije naj implementirajo tudi pogojni dostop (Conditional Access) z oceno tveganja ob prijavi ter razmislijo o uvedbi rešitev za zaznavanje anomalij v oblačnih okoljih, kot je Microsoft Defender for Cloud Apps. Uporabnike je treba izobraziti o nevarnosti potrjevanja neznanih OAuth zahtev, tudi če se zdijo legitimne.
Čeprav konkretnih CVE številk za te napadalne tehnike zaenkrat ni bilo objavljenih, saj gre za zlorabo legitimnih funkcionalnosti platforme, Microsoft aktivno preiskuje primer in po neuradnih informacijah pripravlja dodatne varnostne kontrole v okviru Entra ID. Do takrat ostaja človeški faktor in skrbniška budnost prva obrambna linija.
“,
“vsebina_md”: “Varnostni raziskovalci so odkrili dve novi tehniki napada, ki ju imenujemo ConsentFix in ClickFix, ki napadalcem omogočata prevzem Microsoft 365 računov v zgolj nekaj sekundah – ne glede na to, ali je večfaktorska avtentikacija (MFA) vklopljena ali ne. Gre za resno grožnjo za podjetja in organizacije, ki se zanašajo na Microsoftov oblak.\n\nTehnika **ClickFix** je že dlje časa znana v varnostnih krogih, zdaj pa je dobila novo, nevarnejšo sestro. Napadi delujejo na principu socialnega inženiringa – žrtev se prepriča, da klikne na lažni poziv, ki posnema zakonita sistemska obvestila ali pozive za posodobitev. Ko žrtev ukrepa, napadalec v ozadju pridobi veljavni sejni žeton (session token), s katerim prevzame dostop do računa brez potrebe po geslu ali kodi MFA.\n\n**ConsentFix** gre korak dlje in izkorišča OAuth 2.0 avtorizacijski tok. Napadalci ustvarijo zlonamerne aplikacije tretjih oseb, ki od žrtve zahtevajo soglasje za dostop do Microsoft 365 storitev. Ko uporabnik potrdi zahtevo – kar se zdi povsem legitimno –, napadalec pridobi dolgoročni dostopni žeton, ki mu omogoča branje e-pošte, dostop do datotek v SharePointu, Teams pogovorov in drugega občutljivega gradiva, pogosto brez da bi žrtev sploh opazila nepooblaščen dostop.\n\nKljučna nevarnost obeh tehnik je v tem, da **popolnoma zaobideta MFA**. Ker napadalci pridobijo veljavne tokene namesto gesel, jih dodatna avtentikacijska plast preprosto ne zaustavi. To pomeni, da organizacije, ki menijo, da so zavarovane z MFA, dejansko niso imune na te napade.\n\nZa zaščito pred ConsentFix in ClickFix napadi varnostni strokovnjaki priporočajo več ukrepov:\n\n- **Omejite OAuth soglasja**: V Microsoft Entra ID onemogočite samostojno potrjevanje aplikacij s strani končnih uporabnikov.\n- **Pregledajte pooblaščene aplikacije**: Redno revidirajte seznam in preklicite dostop sumljivim ali neuporabljenim aplikacijam.\n- **Implementirajte Conditional Access**: Z oceno tveganja ob prijavi zmanjšate površino napada.\n- **Uporabite MCAS/Defender for Cloud Apps**: Za zaznavanje anomalnih dostopov in sumljivih OAuth tokov.\n- **Izobražujte uporabnike**: Opozorite jih na nevarnost potrjevanja neznanih OAuth zahtev.\n\nČeprav konkretnih CVE številk za te napadalne tehnike zaenkrat ni bilo objavljenih, saj gre za zlorabo legitimnih funkcionalnosti platforme, Microsoft aktivno preiskuje primer in po neuradnih informacijah pripravlja dodatne varnostne kontrole v okviru Entra ID. Do takrat ostaja človeški faktor in skrbniška budnost prva obrambna linija.”,
“kljucne_besede”: [“Microsoft 365”, “ConsentFix”, “ClickFix”, “OAuth napad”, “MFA bypass”],
“izvir_url
Vir:
Originalna objava: 2026-07-03T04:01:20.256Z
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.