Alex Yao Alex Yao
返回动态
网络安全 发布于 2026年7月2日

ConsentFix/ClickFix 数秒内劫持 Microsoft 365 账户

Huntress 详细介绍了一种名为 ConsentFix 的新型攻击向量,这是一种针对 Microsoft 365 用户的 ClickFix 式社会工程学技术,利用 OAuth 授权流程发起攻击。

攻击诱骗用户将一个本地回调链接拖入浏览器,从而捕获微软认证服务器返回的会话令牌。由于入侵通过合法 OAuth 流程进行,可绕过多因素认证和条件访问策略。

一旦攻击者获得会话令牌,即可在数秒内访问受害者的 Microsoft 365 账户和数据。安全意识培训和 OAuth 授权审查策略是抵御该技术的关键防御措施。