近期，一种名为 ConsentFix 的 ClickFix 攻击新变种被发现，该攻击手法可滥用 Azure CLI OAuth 应用劫持微软账户，全程无需获取用户密码，也无需绕过多重身份验证机制。

ClickFix 攻击本质上是一种社会工程学攻击手段，其核心原理是诱骗用户在本地设备执行特定命令，进而实现恶意软件植入或数据窃取的目的。这类攻击通常会伪造 " 修复系统错误 "" 人机身份验证 " 等虚假操作指引，以此迷惑用户。

ConsentFix 技术的核心在于窃取 OAuth 2.0 授权码，攻击者可利用该授权码获取 Azure CLI 访问令牌。

Azure CLI 是微软官方推出的命令行工具，其基于 OAuth 认证流程，支持用户在本地设备完成身份验证，进而管理 Azure 及 Microsoft 365 的各类资源。在该攻击活动中，攻击者会诱骗受害者完成 Azure CLI 的 OAuth 认证流程，随后窃取生成的授权码，并通过该授权码获取目标账户的完全访问权限，整个过程既不需要用户密码，也无需突破多重身份验证防护。

ConsentFix 攻击的实施流程

ConsentFix 攻击的第一步，是诱导受害者访问一个已被入侵的合法网站。该网站针对特定关键词在谷歌搜索结果中排名靠前，具备较强的迷惑性。

受害者访问网站后，页面会弹出伪造的 Cloudflare Turnstile 验证码组件，要求输入有效的企业邮箱地址。

攻击者预先植入的脚本会将该邮箱地址与目标清单进行比对，过滤掉机器人程序、安全分析师以及非目标对象。

受害者被提示输入他们的电子邮件地址

通过验证的用户会看到一个模仿 ClickFix 交互模式的页面，页面提供 " 人机验证 " 的操作指引。指引内容为点击页面上的 " 登录 " 按钮，该操作会在新标签页打开一个微软官方 URL。但需要注意的是，这并非常规的微软登录界面，而是用于生成 Azure CLI OAuth 访问码的 Azure 登录页面。

如果用户此前已登录微软账户，仅需选择对应账户即可；若未登录，则需在微软真实登录页面完成常规身份验证。 

完成上述操作后，微软会将用户重定向至一个本地主机（localhost）页面，此时浏览器地址栏中会显示一个包含 Azure CLI OAuth 授权码的 URL，该授权码与用户的微软账户直接绑定。

带有代码的 ClickFix 风格的页面，用于窃取 URL

按照页面指引，用户会将该 URL 复制粘贴至恶意页面，至此钓鱼流程全部完成，攻击者可通过 Azure CLI OAuth 应用获取目标微软账户的访问权限。

Microsoft Azure CLI 登录页面

一旦受害者完成上述操作，就等同于通过 Azure CLI 向攻击者开放了自己的微软账户访问权限。至此，攻击者已实际控制受害者的微软账户，且全程既没有进行密码钓鱼，也没有突破多重身份验证的防护。事实上，如果用户此前已处于微软账户登录状态（即存在有效会话），整个过程甚至不需要用户进行任何登录操作。

该攻击针对每个受害者 IP 地址仅触发一次。因此，即便目标对象再次访问同一钓鱼页面，也不会再出现 Cloudflare Turnstile 验证步骤。

安全研究人员建议，防御人员应密切监测异常的 Azure CLI 登录行为，例如来自陌生 IP 地址的登录操作；同时需重点监控旧版 Graph 权限范围的使用情况，攻击者通常会刻意利用这类权限来规避检测。