ConsentFix v3 zeigt, wie gefährlich OAuth Missbrauch für Azure und Microsoft 365 Umgebungen werden kann, wenn Angreifer legitime Login Abläufe gegen Nutzer einsetzen. Die neue Variante baut auf einer von Push Security beschriebenen Technik auf und automatisiert den Prozess stärker als frühere Versionen. Das Ziel ist nicht der klassische Passwortdiebstahl. Stattdessen melden sich Opfer bei Microsoft an, bestehen bei Bedarf auch MFA und geben anschließend OAuth Material über eine manipulierte Oberfläche an Angreifer weiter. Dadurch können Token entstehen, die Zugriff auf E Mails, Dateien und weitere Microsoft Dienste ermöglichen.
ConsentFix v3 macht OAuth Phishing skalierbarer
Der Kern des Angriffs liegt im Missbrauch eines legitimen OAuth Flows. Genau deshalb ist ConsentFix für Unternehmen gefährlich. MFA schützt gegen viele Passwortangriffe, verhindert aber nicht automatisch jeden Token Diebstahl. Wenn ein Nutzer eine echte Anmeldung abschließt und danach manipulierte Schritte befolgt, kann der Angreifer den entstandenen OAuth Code oder Token für weitere Zugriffe nutzen.
ConsentFix v3 soll diesen Ablauf stärker automatisieren. Berichte nennen vorbereitende Prüfungen von Azure Mandanten, personalisierte Phishing Inhalte, legitime Hosting und Integrationsdienste sowie eine automatisierte Backend Verarbeitung der erbeuteten OAuth Daten. Dadurch sinkt der manuelle Aufwand für Angreifer, während mehrere Nutzer einer Organisation parallel adressiert werden können.
Ein weiterer Punkt ist die Nutzung bekannter Plattformen. Wenn Phishing Seiten, PDF Links, Webhooks oder E Mail Infrastruktur über legitime Dienste laufen, greifen einfache Blocklisten weniger zuverlässig. Für Nutzer wirkt der Ablauf glaubwürdiger, weil Teile der Kette nicht wie klassische Malware Domains aussehen.
Warum MFA allein nicht ausreicht
ConsentFix v3 ist ein Beispiel für Angriffe, die nicht am Passwort, sondern an der Sitzung ansetzen. Der Nutzer kann ein starkes Passwort verwenden und MFA korrekt abschließen. Trotzdem kann der Zugriff gefährdet sein, wenn anschließend ein OAuth Token außerhalb des vertrauenswürdigen Geräts genutzt wird.
| Risiko | Warum es relevant ist | Gegenmaßnahme |
|---|---|---|
| MFA Umgehung | Der echte Microsoft Login wird vom Opfer selbst abgeschlossen. | Token Schutz und gerätegebundene Sitzungen prüfen. |
| Legitime Infrastruktur | Angreifer nutzen bekannte Dienste für Hosting, Links oder Automatisierung. | OAuth Flows und ungewöhnliche Redirect Muster überwachen. |
| Token Replay | Erbeutete Tokens können von anderer Infrastruktur genutzt werden. | Conditional Access, Token Protection und Gerätekonformität einsetzen. |
| Nutzerinteraktion | Der Angriff hängt an einem ungewöhnlichen Kopieren, Ziehen oder Einfügen nach Login. | Awareness Training für OAuth Phishing und Login Nachfragen aktualisieren. |
Für CISOs und Microsoft 365 Administratoren ist besonders wichtig, OAuth Ereignisse stärker in die Erkennung einzubeziehen. Auffällige Token Ausstellungen, ungewöhnliche IP Adressen, neue Standorte, nicht typische App Nutzung und verdächtige Redirect Abläufe sollten in Entra ID Sign in Logs und Audit Logs sichtbar gemacht werden.
Was Unternehmen jetzt prüfen sollten
Die wichtigste Sofortmaßnahme ist eine Überprüfung der Token und Conditional Access Strategie. Microsoft Token Protection kann Token Replay Risiken reduzieren, weil Tokens stärker an registrierte und vertrauenswürdige Geräte gebunden werden. Unternehmen sollten prüfen, welche Anwendungen, Nutzergruppen und Geräte dafür geeignet sind.
- Token Protection evaluieren: Besonders für privilegierte Nutzer, Admins und sensible Microsoft 365 Rollen.
- OAuth Logs überwachen: Auffällige Authorization Code Exchanges, neue Standorte und ungewohnte Geräte erkennen.
- App Consent Regeln prüfen: Drittanbieter Consent einschränken und Admin Approval Workflows nutzen.
- Sitzungen widerrufen: Bei Verdacht Refresh Tokens invalidieren und betroffene Nutzer neu anmelden lassen.
- Nutzer schulen: Jede Aufforderung, nach einem Login eine URL zu kopieren, einzufügen oder zu ziehen, als Warnsignal behandeln.
ConsentFix v3 ist noch nicht eindeutig als breit eingesetzte Kampagne bestätigt. Die Technik zeigt aber, wohin sich Phishing gegen Microsoft 365 entwickelt: weg vom einfachen Passwortdiebstahl und hin zu legitimen Authentifizierungsabläufen, OAuth Missbrauch und Token Zugriff. Für Unternehmen bedeutet das: MFA bleibt notwendig, muss aber durch Token Schutz, Logging, Conditional Access und konkrete Nutzeraufklärung ergänzt werden.