Resumo: ConsentFix e ClickFix são ataques de engenharia social que roubam sessões do Microsoft 365 em menos de três segundos, sem explorar vulnerabilidades técnicas e sem acionar o MFA. O mecanismo convence o usuário a arrastar um link localhost para o navegador ou colar comandos via atalhos de teclado, entregando tokens OAuth diretamente ao atacante. A técnica está documentada em fóruns de cybercrime desde março de 2026 e qualquer criminoso com acesso ao tutorial pode replicá-la.

Três segundos. Sem MFA. Sem exploit.

Um ataque chamado ConsentFix permite que criminosos roubem sessões inteiras do Microsoft 365 em menos de três segundos — sem explorar nenhuma vulnerabilidade, sem burlar firewalls e sem que o usuário digite uma única senha. O mecanismo é simples: o atacante convence a vítima a arrastar um link localhost para o navegador durante um fluxo de autenticação aparentemente legítimo. Nesse gesto, tokens OAuth são entregues diretamente ao invasor, que ganha acesso total ao e-mail, ao OneDrive e ao resto do pacote Office.

A técnica foi detalhada hoje pela Huntress Labs em relatório publicado no BleepingComputer. Trata-se de uma evolução do ClickFix — técnica de engenharia social que explora reflexos automáticos do usuário para executar código malicioso no próprio computador da vítima.

Como funciona o ClickFix

No ClickFix, a vítima recebe uma página fraudulenta com um prompt de verificação falso. A instrução pede que o usuário pressione uma combinação de teclas — geralmente Ctrl+V ou Win+R — que cola e executa um comando pré-carregado no clipboard. Não há vulnerabilidade técnica. O ataque inteiro depende de o usuário confiar que o prompt é legítimo.

Esse tipo de golpe surgiu com força em 2025 e continua ativo em 2026. A eficiência assusta porque não exige que a vítima baixe arquivo, clique em executável ou insira credenciais em formulário falso. A vítima apenas faz o que faz todos os dias: responde a um prompt na tela.

ConsentFix: o ClickFix do OAuth

O ConsentFix eleva o conceito ao atacar os fluxos de consentimento OAuth do Microsoft 365. A cadeia de ataque segue um roteiro preciso:

  1. Isca inicial: um e-mail de phishing chega por plataformas confiáveis como Dropbox ou DocSend, muitas vezes protegido por senha — o que dificulta a inspeção automática de ferramentas de segurança.
  2. Tela de autenticação falsa: ao clicar no link, a vítima encontra uma página que imita a tela de login da Microsoft. Até aqui, nada de novo.
  3. A armadilha: o passo final pede que o usuário arraste um link de callback localhost para a barra de endereço do navegador, supostamente para completar a autenticação.
  4. Roubo de sessão: nesse gesto, o navegador entrega tokens OAuth ao atacante. A sessão é roubada sem que o MFA tenha sido sequer acionado — porque não houve tentativa de login.

O detalhe devastador é que o MFA nunca entra em cena. O atacante não rouba a senha nem o segundo fator. Rouba a sessão já autenticada, e com ela obtém acesso a e-mails, arquivos, calendários e qualquer serviço vinculado à conta corporativa.

Tutorial disponível para qualquer criminoso

Em março de 2026, um fórum russo de cybercrime publicou um guia completo do ConsentFix. O pacote incluía código funcional, capturas de tela da infraestrutura e um vídeo tutorial passo a passo. A infraestrutura usada pelos atacantes é composta de serviços gratuitos ou baratos, o que reduz o custo do ataque para quase zero.

Ainda segundo a Huntress Labs, o guia orientava criminosos a mapear alvos via LinkedIn antes de enviar qualquer isca de phishing, personalizando mensagens para nomes reais e cargos dentro da organização. O que antes exigia habilidade técnica significativa agora vem empacotado com documentação para iniciantes.

Brasil no centro do alvo

O Microsoft 365 é a plataforma de produtividade dominante no mercado corporativo brasileiro. Estima-se que mais de 70% das empresas de médio e grande porte utilizam o pacote Office como infraestrutura padrão de e-mail e colaboração. Quando o roubo de sessão acontece, o atacante tem acesso ao canal de comunicação principal da empresa — e isso inclui conversas com clientes, contratos em anexo e credenciais de acesso a outros sistemas.

Essa dependência concentrada cria um ponto único de falha que os criminosos exploram repetidamente. Como vimos em coberturas anteriores sobre ataques ao Azure e bypass de MFA, o ecossistema Microsoft é alvo constante tanto de grupos sofisticados quanto de criminosos iniciantes armados com kits prontos.

Como se defender

A consciencialização ainda é a primeira camada de defesa. Esses ataques funcionam porque o usuário completa fluxos familiares sem questionar. Perguntar por que um site pede atalhos de teclado ou por que é necessário arrastar um link estranho para o navegador é suficiente para interromper o golpe.

Mas a consciencialização por si só não fecha a brecha — os ataques são desenhados especificamente para parecer rotina. As defesas técnicas incluem:

  • Monitoramento de endpoint: rastrear atividade incomum do PowerShell originada de processos de usuário comuns.
  • Monitoramento de identidade: detectar logins de sessão a partir de localizações inesperadas ou dispositivos não reconhecidos.
  • Restringir OAuth: limitar quais aplicativos podem solicitar tokens de consentimento dentro do tenant.
  • Revisar permissões de apps: auditar regularmente apps com permissões delegadas no Azure AD.
  • Condicional Access: exigir MFA adicional para sessões iniciadas por OAuth quando o contexto de risco for elevado.

O atacante não precisa invadir o sistema. Ele interrompe um fluxo de trabalho normal no momento exato e deixa a vítima completar o resto. Entender esse padrão é o primeiro passo para parar o ataque.

O contexto amplifica o risco

Enquanto o ConsentFix ataca sessões de usuário, outras vulnerabilidades Microsoft estão sob exploração activa simultaneamente. A CISA adicionou hoje a falha CVE-2026-45659 ao seu catálogo de vulnerabilidades exploradas (KEV), uma falha de execução remota de código no SharePoint Server com CVSS 8.8. A falha permite que qualquer atacante autenticado — mesmo sem privilégios de administrador — execute código no servidor.

Paralelamente, a SecurityWeek confirmou que a vulnerabilidade BlueHammer (CVE-2026-33825) no Microsoft Defender está sendo explorada por grupos de ransomware. A falha, originalmente divulgada por um pesquisador frustrado com o processo de correção da Microsoft, permite escalonamento de privilégios e já foi explorada como zero-day antes do lançamento dos patches em abril.

Essa convergência de ameaças — roubo de sessão por engenharia social, RCE no SharePoint e bypass do Defender — mostra que o ecossistema Microsoft permanece sob pressão intensa. Para a segurança do leitor brasileiro, o ConsentFix é o mais urgente: não exige técnica alguma para ser executado e qualquer funcionário pode ser a porta de entrada.

Referências