Bạn có tin rằng chỉ với vài cú click chuột, hacker có thể chiếm quyền kiểm soát toàn bộ hệ thống Azure của doanh nghiệp? Kỹ thuật tấn công ConsentFix v3 vừa xuất hiện trên các diễn đàn hacker đang biến điều không tưởng này thành hiện thực. Khác với các phiên bản trước, ConsentFix v3 đã được tự động hóa hoàn toàn, cho phép kẻ tấn công thực hiện hàng nghìn cuộc tấn công OAuth (Open Authorization) song song mà không cần can thiệp thủ công. Chúng tôi đánh giá đây là bước tiến nguy hiểm trong xu hướng tự động hóa các cuộc tấn công mạng.

Cuộc tiến hóa đáng lo ngại của ConsentFix

ConsentFix v3 kế thừa toàn bộ kỹ thuật từ hai phiên bản tiền nhiệm nhưng bổ sung thêm khả năng tự động hóa toàn diện. OAuth là giao thức ủy quyền cho phép ứng dụng bên thứ ba truy cập tài nguyên của người dùng mà không cần mật khẩu - như khi bạn đăng nhập ứng dụng bằng tài khoản Google hay Microsoft. ConsentFix v3 lợi dụng quy trình này bằng cách tạo ra các ứng dụng độc hại giả mạo, sau đó tự động gửi yêu cầu ủy quyền đến hàng nghìn tài khoản Azure cùng lúc.

Điểm đáng lo ngại nhất là khả năng mở rộng quy mô của phiên bản mới này. Nếu ConsentFix v1 và v2 chỉ cho phép hacker tấn công từng mục tiêu một cách thủ công, thì v3 đã tự động hóa toàn bộ quy trình từ việc tạo ứng dụng giả mạo, gửi email lừa đảo, đến thu thập token truy cập. Chúng tôi quan sát thấy trên các diễn đàn, kẻ tấn công khoe khoang có thể nhắm đến hàng chục nghìn tài khoản doanh nghiệp chỉ trong vài giờ.

Giải mã cơ chế tấn công tự động

Kỹ thuật này hoạt động theo nguyên lý khai thác lỗ hổng trong quy trình consent (đồng ý) của OAuth. Khi người dùng nhấn "Đồng ý" cho một ứng dụng yêu cầu quyền truy cập, Azure sẽ cấp token truy cập mà không kiểm tra kỹ lưỡng tính hợp pháp của ứng dụng đó. ConsentFix v3 tận dụng điều này bằng cách tạo ra hàng loạt ứng dụng có vẻ hợp pháp với tên gọi giống các dịch vụ phổ biến như "Microsoft Security Update" hay "Office 365 Sync Tool".

Quy trình tấn công được chia thành ba giai đoạn tự động: đầu tiên là tạo ứng dụng độc hại và đăng ký với Azure AD (Active Directory), tiếp theo là gửi email lừa đảo hàng loạt chứa liên kết đến trang consent giả mạo, cuối cùng là thu thập và khai thác các token được cấp. Toàn bộ quá trình này diễn ra mà không cần sự can thiệp của con người, khiến việc phát hiện và ngăn chặn trở nên cực kỳ khó khăn.

Mức độ tàn phá và con số báo động

Theo thống kê từ các chuyên gia an ninh mạng quốc tế, các cuộc tấn công OAuth abuse đã tăng 300% trong năm 2024. Riêng tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận hơn 50 vụ tấn công tương tự trong quý III/2024, chủ yếu nhắm vào các doanh nghiệp sử dụng Microsoft 365. Khi thành công, kẻ tấn công có thể truy cập email, tài liệu OneDrive, thậm chí toàn bộ hệ thống quản lý doanh nghiệp.

Đặc biệt nghiêm trọng, ConsentFix v3 không chỉ đánh cắp dữ liệu mà còn có thể cài đặt backdoor vĩnh viễn trong hệ thống. Chúng tôi ghi nhận trường hợp một doanh nghiệp công nghệ tại TP.HCM mất quyền kiểm soát toàn bộ hệ thống Azure trong 3 tuần mà không hề hay biết, chỉ phát hiện khi hóa đơn Azure tăng đột biến do kẻ tấn công sử dụng tài nguyên để đào tiền ảo.

Lá chắn bảo vệ khẩn cấp cho doanh nghiệp Việt

Doanh nghiệp Việt Nam cần thực hiện ngay các bước bảo vệ cụ thể sau: Đầu tiên, truy cập Azure Active Directory admin center, vào mục "Enterprise applications" và rà soát tất cả ứng dụng đã được cấp quyền, xóa bỏ những ứng dụng không rõ nguồn gốc hoặc có tên gọi đáng ngờ. Thứ hai, kích hoạt tính năng "Admin consent workflow" để yêu cầu phê duyệt của quản trị viên cho mọi ứng dụng mới.

Bên cạnh đó, triển khai Conditional Access policies để hạn chế quyền truy cập dựa trên địa chỉ IP, thiết bị và vị trí địa lý. Đặc biệt quan trọng, tổ chức đào tạo nhận thức an ninh mạng cho nhân viên về cách nhận biết email lừa đảo và tuyệt đối không click vào liên kết consent từ email khả nghi. Chúng tôi khuyến nghị thiết lập cảnh báo tự động khi có ứng dụng mới được thêm vào hoặc khi có hoạt động đăng nhập bất thường từ các ứng dụng bên thứ ba.