Alex Yao Alex Yao
返回動態
網絡安全 發佈於 2026年7月2日

ConsentFix/ClickFix 數秒內劫持 Microsoft 365 賬戶

Huntress 詳細介紹了一種名為 ConsentFix 的新型攻擊向量,這是一種針對 Microsoft 365 用戶的 ClickFix 式社會工程學技術,利用 OAuth 授權流程發起攻擊。

攻擊誘騙用戶將一個本地回調鏈接拖入瀏覽器,從而捕獲微軟認證服務器返回的會話令牌。由於入侵通過合法 OAuth 流程進行,可繞過多因素認證和條件訪問策略。

一旦攻擊者獲得會話令牌,即可在數秒內訪問受害者的 Microsoft 365 賬戶和數據。安全意識培訓和 OAuth 授權審查策略是抵禦該技術的關鍵防禦措施。