Azure 企業用戶警訊:解析 ConsentFix v3 網釣攻擊與自動化資安防禦策略
產業與AI趨勢分析
2026-05-26
ConsentFix v3:隱匿於瀏覽器中的隱形威脅
去年 12 月,資安公司 Push Security 揭露了 ConsentFix 攻擊手法。到了 v3 版本,這項技術已演變為結合 ClickFix 社交工程與 OAuth 授權的複合式威脅。與傳統需要下載惡意檔案的攻擊不同,ConsentF
去年 12 月,資安公司 Push Security 揭露了 ConsentFix 攻擊手法。到了 v3 版本,這項技術已演變為結合 ClickFix 社交工程與 OAuth 授權的複合式威脅。與傳統需要下載惡意檔案的攻擊不同,ConsentF
文章核心摘錄
- ConsentFix v3 結合 ClickFix 與 OAuth,實現全瀏覽器自動化攻擊,傳統端點防護(EDR)難以偵測。
- 攻擊者鎖定 Microsoft 365 與 Azure 權限,一旦授權即可能導致企業機敏資料全面外洩與帳號挾持。
- 企業應從「身份驗證機制」與「業務流程自動化」兩大維度建構主動防禦體系,消除資訊孤島帶來的資安盲點。
趨勢與脈絡分析
ConsentFix v3:隱匿於瀏覽器中的隱形威脅
去年 12 月,資安公司 Push Security 揭露了 ConsentFix 攻擊手法。到了 v3 版本,這項技術已演變為結合 ClickFix 社交工程與 OAuth 授權的複合式威脅。與傳統需要下載惡意檔案的攻擊不同,ConsentFix v3 完全在瀏覽器環境中運作,這意味著傳統的端點偵測與回應(EDR)系統可能無法察覺異常。
攻擊鏈分析:從點擊到權限控制
攻擊者通常利用偽裝的瀏覽器更新或系統修復視窗(ClickFix)誘導使用者操作。當使用者依照指示按下按鈕時,背後觸發的是 Azure OAuth 的授權請求。由於 ConsentFix 的攻擊流程高度自動化且不接觸作業系統底層,IT 管理員很難透過傳統的特徵碼過濾來攔截。一旦使用者在不知情的情況下同意授權,攻擊者便能合法地存取其 Microsoft 365 郵件、雲端檔案,甚至進一步在 Azure 環境中進行橫向移動。俄羅斯駭客組織 APT29 已將其投入實戰,顯示出該手法在竊取企業情報上的高度效能。
為什麼傳統防禦正在失效?
現有的資安防禦體系大多建構在「檔案掃描」與「行為分析」之上。然而,ConsentFix v3 巧妙地利用了雲端服務的信任機制(OAuth)。對於系統而言,這是一次「合法的使用者授權」,而非「惡意程式執行」。這種身分驗證層級的攻擊,暴露了許多企業在數位轉型過程中,對於雲端權限控管與流程監測的脆弱性。
對企業營運的衝擊
創蔚專家觀點
落地方案與下一步
常見問題
因為它完全在瀏覽器的記憶體與邏輯層運作,並利用合法的 OAuth 授權協議,不涉及惡意檔案的下載或系統登錄檔的修改。
IT 管理員應定期審查 Azure AD (Entra ID) 中的「企業應用程式」授權清單,尋找異常的權限要求或來源不明的第三方應用程式。
透過業務流程自動化(如案例中的 ERP 與 PDA 整合)減少員工直接接觸敏感授權介面的機會,並實施嚴格的條件式存取原則(Conditional Access)。