ConsentFix/AuthCodeFix : dĂ©tournement du flux OAuth (code dâautorisation) contre Microsoft Entra
Selon la publication du 31/12/2025, une attaque baptisĂ©e âConsentFixâ (aussi appelĂ©e âAuthCodeFixâ) exploite le flux OAuth 2.0 par code dâautorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. DĂ©couverte dans la nature par PushSecurity (Ă©volution de ClickFix), une variante dĂ©montrĂ©e par John Hammond supprime mĂȘme lâĂ©tape de copier-coller au profit dâun glisserâdĂ©poser de lâURL contenant le code. Pourquoi cela fonctionne 𧩠Lâattaquant construit une URI de connexion Entra visant le client âMicrosoft Azure CLIâ et la ressource âAzure Resource Managerâ. Lâutilisateur sâauthentifie puis est redirigĂ© vers un URI de rĂ©ponse local (ex. http://localhost:3001) qui contient le paramĂštre sensible âcodeâ (valide environ 10 minutes) et Ă©ventuellement âstateâ. En lâabsence dâapplication Ă©coutant sur localhost, le navigateur affiche une erreur, mais lâURL contient toujours le code que lâattaquant rĂ©cupĂšre. Il lâĂ©change ensuite pour des tokens (access/ID/refresh) et accĂšde Ă la ressource. Ce mĂ©canisme explique pourquoi lâattaque semble contourner les exigences de conformitĂ© dâappareil et certaines politiques dâAccĂšs conditionnel, car elle abuse dâun flux OAuth lĂ©gitime. DĂ©tection et signaux đ ...