官方域名也可能被利用,微软登录钓鱼出现新变种
IT之家消息,卡巴斯基于7月6日发布安全预警,2026年4至5月监测到大规模钓鱼攻击。攻击者滥用微软身份平台OAuth2.0设备授权流程实施账号劫持,依托微软官方域名绕过安全设备拦截,即便部署多因素认证MFA,依旧存在账号被盗风险,多家企业员工遭遇定向钓鱼。
与传统仿登录页面钓鱼不同,本次攻击最大特点是全程跳转微软真实认证站点,域名无异常,极易降低用户防范心理。攻击者最终能够拿到access_token、refresh_token、id_token三类凭证,实现长期操控受害者账号。

一、OAuth2.0设备授权正常运行机制
DeviceAuthorizationGrant设备码模式,原本面向电视、打印机等无完整浏览器的终端设备登录。
标准流程为:设备请求接口获取verification_uri验证地址与user_code一次性验证码;用户在电脑、手机打开微软官方登录页面microsoft.com/devicelogin填入代码授权;客户端持续轮询令牌接口。
用户确认授权后,云端下发access_token(有效期约1小时)、refresh_token。access_token过期后,攻击者可依靠refresh_token无需再次验证,持续刷新获取新凭证。整套协议设计初衷合理,却被黑客滥用成为入侵通道。
二、完整攻击链路拆解
攻击者采用极具迷惑性的邮件载体开展投递:
1、诱饵投递:钓鱼邮件伪装律师事务所通知,附带加密PDF附件,依靠密码保护规避邮件网关扫描。
2、中转落地页诱导:受害者解锁PDF后访问文档列表页面,点击链接后经由URL参数跳转仿冒法律门户钓鱼站。
3、生成一次性验证码:钓鱼后台提前向微软接口申请合法user_code,页面展示验证码并设置人机验证CAPTCHA增加可信度。
4、官方页面完成认证:一键复制代码跳转微软真实devicelogin页面,受害者输入账号密码与MFA完成授权。
5、凭证窃取持久控制:授权成功后攻击者接收全套Token,利用权限访问邮箱、OneDrive网盘、Teams聊天数据。
三、该攻击难以防御的核心原因
第一,认证页面属于微软原生域名,域名黑名单、URL信誉库无法拦截。
第二,攻击不窃取明文账号密码,传统密码防护方案失效。
第三,refresh_token支持长效续期,员工事后修改密码,不一定能立即终止已有会话。
第四,诱饵使用加密PDF,静态内容检测难以识别恶意跳转逻辑。
四、企业针对性安全防护对策
1、按需关闭租户设备码授权
企业管理员评估业务需求,非IoT、大屏场景可直接禁用DeviceCode授权流程,从源头切断攻击通道。
2、完善OAuth应用行为审计
持续监控陌生应用授权、异常GraphAPI批量读取邮件、网盘导出行为,及时触发安全告警。
3、加强员工专项钓鱼培训
告知员工凡是外部链接引导前往devicelogin输入验证码,均需要高度警惕,杜绝从邮件外链启动设备授权流程。
4、规范邮件威胁检测策略
加强加密PDF附件、多层跳转链接的动态沙箱检测,重点监控指向微软设备登录地址的异常外链。
5、定期批量注销长期会话
定期强制回收租户内闲置会话令牌,缩短恶意凭证可利用周期。
设备码钓鱼充分暴露出OAuth协议滥用带来的新型安全风险。攻击者不需要伪造登录页面,仅依靠流程欺骗即可绕过多重防护。企业不能单纯依赖MFA作为账号安全底线,需要结合租户策略管控、OAuth行为审计与员工安全教育构建多层防御体系,抵御针对微软身份平台的各类定向钓鱼活动。


闽公网安备 35021102000564号