12 月 23 日消息,科技媒体 Windows Report 昨日(12 月 22 日)发布博文,报道称黑客目前正利用微软合法的 OAuth 2.0 设备授权流程,绕过密码与多因素认证(MFA)防线,直接接管企业级 Microsoft 365 账户。
注:微软 OAuth 2.0 设备授权流程是一种允许输入能力受限的设备(如智能电视、打印机)通过辅助设备(如手机、电脑)访问用户账户的认证标准。
用户在浏览器输入设备上显示的代码即可完成授权。黑客利用此机制,诱骗用户在手机上输入黑客持有的代码,从而获得账户权限。
此类网络钓鱼活动的核心在于诱骗。攻击者通过伪造紧急验证请求或一次性密码消息,诱导受害者访问微软真实的验证页面并扫码输入特定的设备代码。一旦用户完成输入,微软系统便会生成一个访问 tokens 并授权给攻击者。
获得 tokens 后,黑客能立即接管受害者账户,不仅可以窃取敏感数据,还能在企业系统中进行横向移动,甚至建立长期的持久化访问权限,造成难以估量的损失。
安全研究机构 Proofpoint 的追踪数据显示,相关攻击活动至少自 2025 年 9 月便已开始活跃。攻击者广泛使用了 SquarePhish2(含二维码诱饵)和 Graphish(自动化攻击流程)等工具包。
其中,以经济利益为驱动的团伙(如 TA2723)常利用薪资更新、福利通知等主题设局。由于登录过程发生在合法的微软域名下,多数传统网络钓鱼检测工具无法识别此类异常活动。
专家警告,鉴于 MFA 在此类攻击中形同虚设,企业必须严密监控 OAuth 设备代码的使用情况,并限制不必要的认证流程。
同时,员工需提高警惕,切勿在未主动发起请求的情况下输入验证代码。为应对此类利用合法机制的漏洞,微软已推出“In Scope by Default”计划,旨在将其安全响应范围扩大,以便未来能更快速地识别并处置此类新型利用手段。
