ConsentFIX-Lücke lässt Microsoft-Konten übernehmen

15. Dezember 2025

A new variation of the ClickFix scam tries to get around phishing defenses by capturing an employee’s OAuth authentication token for Microsoft logins (ConsentFix vulnerability)

Researchers at Push Security this week outlined the tactic, which they call ConsentFix, in a blog, calling it “a dangerous evolution of ClickFix and consent phishing that is incredibly hard for traditional security tools to detect and block.”

Generally ClickFix attacks display a fake error or counterfeit CAPTCHA verification to a user to get them to copy, paste and execute malicious commands on their devices.

What’s new in a ConsentFix attack is that the attack happens entirely inside a browser, say the researchers, which removes one of the key detection opportunities because the attack doesn’t touch an endpoint.

How the attack works

The attack starts with a victim coming across a legitimate but compromised website they are looking for in a Google search, which completely circumvents email-based anti-phishing controls. Going to the site triggers a fake Cloudflare CAPTCHA-like verification page asking the victim to enter their business email address to prove they’re human. Doing so makes a Microsoft login page pop up which includes a legitimate URL, based on the victim’s email address, that would contain an OAuth token. The victim is asked to copy and paste that URL into a field, again, to verify they are human. The URL is captured by the threat actor, at which point the victim has granted the attacker access to their Microsoft account via Azure’s command line interface, say the researchers.

“At this point, the attacker has effective control of the victim’s Microsoft account, but without ever needing to phish a password, or pass an MFA (multifactor authentication) check,” says Push Security. “In fact, if the user was already logged in to their Microsoft account (i.e. they had an active session) no login is required at all.”

Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • US-Medizinriese Stryker durch Hacker komplett lahmgelegt

    12. März 2026 Der Medizintechnikkonzern Stryker wurde Ziel eines schwerwiegenden Cyberangriffs einer irannahen Hackergruppe. Stryker ist ein Fortune-500-Unternehmen, das sich auf die Herstellung von chirurgischen Instrumenten, orthopädischen Implantaten und Neurotechnologie spezialisiert hat. Das Unternehmen mit Hauptsitz in Michigan beschäftigt rund 56.000 Mitarbeiter und prognostizierte für 2025 einen Umsatz von über 25 Milliarden US-Dollar. Seine zentrale Rolle in der Lieferkette des Gesundheitswesens macht es zu einem…

  • Angebot für M365-Schulungen

    02. Dezember 2025 M365-Schulung für Admins In diesem zweiteiligen E-Learning-Starterpaket mit über 90 Lektionen und mehr als acht Stunden Videoinhalt wird Junior-Admins gezeigt, wie Microsoft 365 erfolgreich eingerichtet und verwaltet werden kann. Microsoft 365 ist eine umfassende Plattform, die von der E-Mail-Kommunikation bis hin zur Zusammenarbeit im Team reicht und IT-Administratoren vor eine Reihe von Herausforderungen stellt. Administratoren müssen sich mit einer Vielzahl von Diensten…

  • Windows Server 2016 – bald keine Updates mehr!

    25. Februar 2026 Windows-Versionen aus 2016 erhalten in Kürze keinen Support mehr. Erweiterte Sicherheits-Updates (ESU) sind jedoch in Planung. Besonders kritisch ist es bei Windows Server 2016, welches noch millionenfach weltweit im Einsatz steht. Microsoft beendet den Support für drei Windows-Produkte, die im Jahr 2016 erschienen sind. Das nahende Aus lässt sich etwa mit erweiterten Sicherheits-Updates (ESU) hinauszögern – natürlich mit einem Preis verbunden. Was…

  • 10 Schwachstellen im Active Directory, die Firmen angreifbar machen

    22. Januar 2026 Inhaltsverzeichnis Active Directory (AD) ist das Rückgrat der Authentifizierung und der Autorisierung im lokalen Unternehmensnetzwerk. Über AD werden Benutzer-, Gruppen- und Computerkonten verwaltet und zur täglichen Nutzung autorisiert.  Dieser zentrale Verzeichnisdienst ist der Dreh- und Angelpunkt für Identitäten jeglicher Sensitivität und aus diesem Grund ein sehr attraktives Ziel für Hacking-Angriffe. Eine Kompromittierung des AD ist der grösste Anzunehmende Unfall in der IT,…

  • Beliebter Texteditor Notepad++ gehackt – was jetzt?

    3. Februar 2026 Der sehr beliebte und verbreitete Texteditor Notepad++ wurde Opfer eines hoch-entwickelten Angriffs, wahrscheinlich aus China. Durch einen infizierten Update-Prozess wurde Malware auf die Zielrechner installiert. Unsere Empfehlung: Notepad++ komplett deinstallieren, rebooten und von der Original-Webseite des Herstellers neu installieren! Der Entwickler von Notepad++ hat bekannt gegeben, dass staatlich geförderte Angreifer den Update-Mechanismus des Programms gekapert haben, um den Update-Verkehr stattdessen auf bösartige…

  • Neue Sicherheitsfunktionen für Google’s Android (ab V15)

    31. Januar 2026 Google verbessert die Sicherheit von Android-Smartphones weiter, um sie vor unbefugtem Zugriff, beispielsweise im Falle eines Diebstahls, zu schützen. Neue Funktionen wurden angekündigt. Google stattet Android mit neuen Sicherheitsfunktionen aus . Diese sollen Gerätedaten auf Smartphones und Tablets „vor, während und nach einem Diebstahlversuch“ schützen. Die neuen, mehrschichtigen Verteidigungsmechanismen schützen persönliche Daten nicht nur im Falle eines Gerätediebstahls, sondern auch vor neugierigen Kinderhänden. Wie…