• Добро пожаловать на сайт - Forumteam.bet !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

Фишеры злоупотребляют механизмом Device Code Flow для захвата аккаунтов Microsoft

Article Publisher

Публикатор
Команда форума
Регистрация
05.02.25
Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, участники которой злоупотребляют механизмом Microsoft Device Authorization Grant, также известным как Device Code Flow. Жертв заставляют самостоятельно пройти авторизацию на официальном сайте Microsoft, предоставив атакующим доступ к своей учетной записи.

По данным исследователей, кампания была активна с начала апреля до середины мая 2026 года. Пользователи получали письма якобы от юридической фирмы с PDF-файлом, защищенным паролем. Внутри находился список документов и ссылка для их просмотра.

На первый взгляд ссылка вела на легитимный ресурс Microsoft. Однако ее параметры обеспечивали редирект на фишинговый сайт, который имитировал портал с юридическими документами. После решения нескольких CAPTCHA, вероятно, предназначенных для защиты от краулеров и автоматических анализаторов, пользователям предлагали скопировать одноразовый код.



Этот код заранее генерировали злоумышленники, запуская процесс авторизации Device Code Flow на своей стороне. Затем жертву перенаправляли на настоящую страницу Microsoft, где она вводила код, входила в аккаунт и проходила многофакторную аутентификацию. В результате пользователь своими руками предоставлял доступ приложению атакующих.



В основе этой схемы лежит спецификация OAuth 2.0 Device Authorization Grant. Этот механизм предназначен для телевизоров, принтеров, IoT-девайсов и другой техники, которая не имеет полноценной клавиатуры или браузера. Такие устройства отображают короткий user_code, а пользователь вводит его на смартфоне или компьютере. После подтверждения клиент получает access_token, refresh_token и id_token.

Обычно клиент отправляет запрос на https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode и получает два ключевых значения: device_code для внутреннего обмена с сервером и короткий user_code, который увидит и должен ввести пользователь. Также ответ содержит значения expires_in (время жизни кода) и interval (как часто опрашивать сервер). Пока пользователь проходит авторизацию на другом устройстве, клиент регулярно опрашивает https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token и ждет подтверждения.

Фишеры подменяют в этой цепочке сам клиент. Они заранее запрашивают код для собственного приложения, передают user_code жертве и отправляют ее на официальный сайт Microsoft. После входа и двухфакторной аутентификации сервер выдает токены не браузеру пользователя, а атакующим. В итоге access_token открывает доступ к данным, а refresh_token позволяет получать новые токены без повторной аутентификации и сохранять доступ после завершения текущей сессии.

В атаке роль клиентского устройства выполняла инфраструктура фишеров. Полученные злоумышленниками токены позволяют читать почту жертвы и отправлять письма от ее имени, просматривать файлы в OneDrive и сообщения в Microsoft Teams.

Исследователи подчеркивают, что для такой компрометации не нужны малварь или кража пароля. Более того, финальный этап атаки проходит на официальной странице Microsoft, поэтому одной только проверки домена тоже будет недостаточно.

Хотя описанная в исследовании рассылка была не очень массовой и распространялась чуть больше месяца, злоумышленники продолжают применять этот метод. В частности, специалисты зафиксировали похожие атаки на пользователей из Бразилии. В этой кампании файл PDF отсутствовал, а ссылка на легитимный сервис Cacoo перенаправляла жертву на страницу с одноразовым кодом.

Эксперты рекомендуют пользователям не подтверждать запросы Device Code Flow, если они сами не инициировали вход на другом девайсе, и не вводить коды из подозрительных писем и сообщений. Также стоит проверять не только основной домен, но и параметры редиректа в URL, а после перехода — конечный адрес страницы.

Организациям рекомендуется оценить, нужен ли Device Code Flow в корпоративной инфраструктуре.

«Необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами. Организациям стоит проанализировать, действительно ли Device Code Flow необходимо использовать в корпоративной инфраструктуре, и, если этот сценарий не используется в бизнес-процессах, отключить его», — говорит эксперт «Лаборатории Касперского» Роман Деденок (Roman Dedenok).

Сделать это можно через политики Conditional Access в Microsoft Entra ID. Также специалисты советуют отслеживать события DeviceCodeSignIn, статус соответствия устройств требованиям безопасности и попытки входа из необычных локаций.
 
Сверху Снизу