ConsentFix to atak wykorzystujący pozornie niewinną interakcję w przeglądarce – skopiowanie adresu z paska – aby uzyskać dostęp do konta Microsoft bez hasła ani MFA. W jaki sposób można się przed nim bronić?
CompliancePrawo21 kwietnia, 2026
Consentfix: od fałszywej captchy do przejęcia konta
Z tego artykułu dowiesz się:
-
Czym jest atak ConsentFix?
ConsentFix to rodzaj ataku phishingowego wykorzystującego mechanizm OAuth 2.0. Zamiast łamać zabezpieczenia, atakujący przekonuje użytkownika, aby sam przekazał mu kod autoryzacyjny skopiowany z paska adresu – co pozwala uzyskać dostęp do konta Microsoft bez hasła i bez przechodzenia MFA.
Przejdź do fragmentu w artykule -
Na czym dokładnie polega działanie ConsentFix od strony technicznej (OAuth)?
Atak wykorzystuje Authorization Code Flow dla aplikacji typu public client, gdzie sam kod autoryzacyjny wystarcza do uzyskania tokenu. Atakujący generuje poprawny link logowania do zaufanej aplikacji Microsoft, a następnie skłania użytkownika, by skopiował cały adres URL z kodem autoryzacyjnym i wkleił go w fałszywy formularz.
Przejdź do fragmentu w artykule -
Jaką rolę odgrywa fałszywa CAPTCHA w ataku ConsentFix?
Użytkownik trafia na stronę podszywającą się pod weryfikację CAPTCHA, podaje służbowy e mail i klika „Sign in”, co otwiera prawdziwe logowanie Microsoft. Po uwierzytelnieniu przeglądarka próbuje otworzyć techniczny adres (np. http://localhost), co kończy się błędem – w tym momencie fałszywa strona instruuje użytkownika, aby skopiował cały pasek adresu i wkleił go jako „kod weryfikacyjny”.
Przejdź do fragmentu w artykule -
Jak rozpoznać próbę wyłudzenia kodu autoryzacyjnego OAuth (ConsentFix) po stronie użytkownika?
Alarmujące są wszystkie niestandardowe czynności – prośba o kopiowanie/ przeciąganie adresów URL, wklejanie zawartości paska przeglądarki czy wykonywanie poleceń systemowych. Prawdziwa CAPTCHA nie wymaga podawania maila ani przeklejania treści z paska adresu lub komend systemowych.
Przejdź do fragmentu w artykule -
Jakie ślady ataku ConsentFix można zauważyć w logach Entra ID?
W logach pojawiają się dwa powiązane zdarzenia logowania: interaktywne logowanie użytkownika z jego urządzenia oraz nieinteraktywne logowanie wykonywane przez atakującego, gdy wymienia kod na token. Oba zdarzenia mają to samo ApplicationId, SessionId oraz UserId, a drugie pojawia się do ok. 2 minut po pierwszym.
Przejdź do fragmentu w artykule -
Kto powinien szczególnie interesować się atakiem ConsentFix w organizacji?
Przede wszystkim administratorzy IT, zespoły SOC/Blue Team oraz osoby odpowiedzialne za bezpieczeństwo tożsamości w Entra ID. Podstawowe zasady rozpoznawania ConsentFix warto jednak przekazać wszystkim użytkownikom korzystającym z kont Microsoft.
Przejdź do fragmentu w artykule -
Jak ograniczyć ryzyko ataku ConsentFix w środowisku firmowym?
Poza monitorowaniem logów Entra ID warto ograniczyć powierzchnię ataku, np. przez bezpośrednie przypisywanie użytkowników do podatnych aplikacji oraz przegląd ich uprawnień. Nie da się jednak całkowicie wyeliminować ConsentFix konfiguracją – konieczne są również procesy i edukacja użytkowników.
Przejdź do fragmentu w artykule -
Jaką rolę odgrywa edukacja użytkowników w ochronie przed ConsentFix?
Edukacja jest kluczowa, ponieważ atak opiera się na działaniach wykonanych przez użytkownika – przeklejeniu zawartości paska adresu z kodem autoryzacyjnym. Regularne szkolenia oraz zróżnicowane kampanie phishingowe znacząco zmniejszają skuteczność tego typu ataków – warto więc, aby obejmowały one różne scenariusze i techniki wykorzystywane przez cyberprzestępców.
Przejdź do fragmentu w artykule -
Czym różni się ConsentFix od klasycznego phishingu logowania do Microsoft 365?
W klasycznym phishingu użytkownik wpisuje login i hasło na fałszywej stronie, którą kontroluje atakujący. W ConsentFix logowanie odbywa się na prawdziwej stronie Microsoft, a atakujący przechwytuje jedynie kod autoryzacyjny OAuth, manipulując zachowaniem użytkownika. Dzięki temu może ominąć mechanizmy typu MFA i Conditional Access.
Przejdź do fragmentu w artykule -
Gdzie znaleźć listę podatnych aplikacji oraz dodatkowe materiały o ConsentFix?
Listę aplikacji podatnych na ten typ ataku można znaleźć na stronie Entra Scopes. Dodatkowe techniczne analizy dostarczają m.in. publikacje „ConsentFix: Browser-native ClickFix hijacks OAuth grants” oraz „ConsentFix: How a New OAuth Attack Bypasses Microsoft Entra Conditional Access”.
Przejdź do fragmentu w artykule
1. Czym jest atak ConsentFix?
ConsentFix to atak phishingowy, który wykorzystuje mechanizmy OAuth w nieoczywisty sposób – nie poprzez omijanie zabezpieczeń, lecz poprzez przekonanie użytkownika, aby sam przekazał atakującemu kod autoryzacyjny. W dotychczas udokumentowanych przypadkach atak opierał się na podszywaniu pod stronę weryfikującą typu CAPTCHA.
Jak wygląda scenariusz ataku?
Użytkownik proszony jest o podanie służbowego e maila „w celu weryfikacji”, a następnie o kliknięcie przycisku „Sign in”, który otwiera rzeczywistą stronę logowania Microsoft. Jeśli użytkownik jest już zalogowany, wybiera po prostu swoje konto, bez konieczności wpisywania danych.
Po zalogowaniu przeglądarka próbuje otworzyć techniczny adres zwrotny, który w normalnych warunkach zazwyczaj obsługiwałaby aplikacja działająca lokalnie. Ponieważ taka aplikacja w tym przypadku nie jest uruchomiona, adres okazuje się niedostępny – użytkownik widzi więc zwykły komunikat o błędzie. W tym momencie strona atakującego wyświetla instrukcję, by skopiować całą zawartość paska adresu (często zaczynającą się od http://localhost) i wkleić ją w pole „weryfikacyjne”. To właśnie ten adres zawiera kod autoryzacyjny OAuth, który umożliwia atakującemu uzyskanie dostępu do konta.
Jest to jeden z najpopularniejszych scenariuszy, na które ofiary trafiają najczęściej poprzez wyszukiwarkę (np. Google). Atakujący wykorzystują w tym celu pozornie wiarygodne strony o wysokiej reputacji, które zostały uprzednio zainfekowane. Możliwe są również prostsze formy ataku – np. bezpośrednie wysłanie linku do logowania Microsoft i wyłudzenie kodu autoryzacyjnego przy użyciu socjotechniki.
Jak nie dać się oszukać?
Jeśli strona prosi o niestandardowe czynności, takie jak kopiowanie lub przeciąganie adresów, wklejanie danych z paska przeglądarki lub wykonywanie poleceń w systemie – przerwij i zgłoś to do działu bezpieczeństwa.
CAPTCHA nie wymaga podawania maila ani wykonywania podejrzanych akcji, takich jak wklejanie poleceń systemowych (ClickFix) czy przeklejanie zawartości paska adresu (ConsentFix).
W jaki sposób działa atak ConsentFix?
Atak wykorzystuje OAuth 2.0 Authorization Code Flow dla aplikacji typu public client. W tym modelu aplikacja nie posiada sekretu klienckiego, więc sam kod autoryzacyjny jest wystarczający do uzyskania tokenu. Atakujący generuje link do logowania dla jednej z zaufanych aplikacji Microsoft z prawidłowym adresem zwrotnym (redirect URI) wskazującym na localhost lub wewnętrzną domenę Microsoft, której nie da się rozwiązać przez publiczne DNS. Po uwierzytelnieniu się ofiary kod autoryzacyjny trafia do przeglądarki. Następnie fałszywa strona wymusza na użytkowniku przekazanie tego kodu atakującemu.
Na co zwracać uwagę w logach?
W przypadku wystąpienia ataku ConsentFix w logach pojawią się dwa powiązane wydarzenia logowania:
- Logowanie interaktywne – wykonane przez ofiarę z jej rzeczywistego urządzenia i lokalizacji. To pierwszy etap;
- Logowanie nieinteraktywne – pojawia się, gdy atakujący wymienia kod autoryzacyjny na token. Ma na to obecnie do 2 minut od logowania interaktywnego.
Oba zdarzenia dzielą to samo ApplicationId, SessionId oraz UserId.
Dla kogo to ważne?
Temat ten jest szczególnie istotny dla:
- Administratorów IT,
- zespołów SOC (Centrum Operacji Bezpieczeństwa)
- oraz osób, które chcą lepiej zrozumieć nowe techniki phishingu.
Jak zabezpieczyć swoją organizację?
Niestety, nie jest łatwo uchronić się przed atakiem ConsentFix wyłącznie przy pomocy konfiguracji. Dlatego poza monitorowaniem logów po stronie Entra ID zalecana jest regularna edukacja i sprawdzanie wiedzy pracowników w obszarze najnowszych zagrożeń. Jednym z możliwych sposobów na ograniczenie powierzchni ataku jest bezpośrednie przypisanie użytkowników w Entra ID do aplikacji najbardziej narażonych na atak, jednak często wymaga to sporego nakładu pracy, a jednocześnie nie eliminuje całkowicie możliwości przeprowadzenia phishingu typu ConsentFix.
Listę podatnych aplikacji można znaleźć na stronie entra scopes.
Warto pamiętać, że choć atak ten różni się od klasycznego phishingu, nadal opiera się on na działaniu wykonanym przez użytkownika – w tym przypadku na przekazaniu zawartości paska adresu z kodem autoryzacyjnym.
Źródła:
Materiał pochodzi z zasobów systemu LEX Cyberbezpieczeństwo
W systemie znajduje się szeroki zakres informacji, komentarzy, wzorów oraz praktycznych poradników, które mogą stanowić uzupełnienie do przekazywanych treści.
Partner technologiczny:
Powiązane analizy
-
PodcastPrawokwietnia 20, 2026
PODCAST #63: Incydent czy naruszenie? O ryzyku w RODO mówi Paweł Litwiński
"Spokojnie, to tylko incydent" - czy na pewno? Paweł Litwiński wyjaśnia, kiedy incydent staje się naruszeniem danych i dlaczego kluczowa jest reakcja organizacji. Praktyka, decyzje UODO i realne przykłady. -
Raport/od redakcjiPrawokwietnia 08, 2026
Doświadczeni polscy prawnicy przed TSUE
Zestawienie doświadczonych polskich prawników reprezentujących strony przed TSUE. Lista oparta na liczbie zakończonych spraw do 2025 r., obejmuje specjalizacje, miejsca praktyki i aktualną aktywność zawodową. -
Raport/od redakcjiPrawokwietnia 08, 2026
Za kulisami Legal AI Academy. Najważniejsze pytania praktyków
Legal AI Academy w praktyce: bezpieczne korzystanie z AI przez prawników, ChatGPT w kancelarii, AI Act, ochrona danych, odpowiedzialność zawodowa i kompetencje przyszłości w pracy prawnika. -
Raport/od redakcjiPrawokwietnia 07, 2026
Zmiany w Portalu Informacyjnym Sądów Powszechnych po 1 marca 2026 roku
Nowelizacja KPC od 1 marca 2026 r. istotnie zmienia funkcjonowanie Portalu Informacyjnego Sądów Powszechnych, wprowadzając nowy sposób wnoszenia pism procesowych, wymagania techniczne oraz konsekwencje ich niedochowania dla zawodowych pełnomocników.
