黑客利用受信任的微软域名和一次性代码劫持企业账户

admin 2026-07-11 04:55:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 一种网络钓鱼技术利用微软设备授权流程劫持企业账户,无需窃取密码。攻击者发送钓鱼邮件引导用户输入一次性代码,在合法微软页面完成验证,从而获取访问令牌和刷新令牌,实现长期隐蔽访问。防御建议包括禁用不必要的设备代码流、实施条件访问策略、监控DeviceCodeSignIn事件并培训用户拒绝未经请求的验证码。 综合评分: 85 文章分类: 红队,安全意识,安全运营


cover_image

黑客利用受信任的微软域名和一次性代码劫持企业账户

ZM ZM

暗镜

2026年7月9日 06:00 北京

在小说阅读器读本章

去阅读

一种日益猖獗的网络钓鱼技术利用合法的微软身份验证流程来劫持企业帐户,而无需窃取密码

由于最终身份验证是在受信任的 microsoft.com 和 login.microsoftonline.com 页面上进行的,因此侧重于可疑域名的传统反钓鱼启发式方法可能会失效。

设备授权许可旨在让智能电视、打印机和物联网硬件等设备使用简短的用户代码和验证 URI(例如,https://microsoft.com/devicelogin)请求用户同意。

正常情况下,未经身份验证的设备会向 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode 发送 POST 请求,接收 user_code 和 verification_uri,将其显示给用户,并轮询令牌端点,直到用户批准为止。

获得批准后,授权服务器会颁发 access_token 和 refresh_token,以便设备可以访问资源并续订访问权限,而无需用户进一步交互。

卡巴斯基的研究人员表示,在2026年4月至5月期间观察到的恶意攻击活动正是利用了这种工作流程。伪装成律师事务所通知或订单确认的钓鱼邮件会提供一个受密码保护的PDF文件,或者提供一个托管在诸如cacoo.com等可信第三方平台上的链接。

PDF 文件或链接会将受害者引导至钓鱼登录页面,该页面首先显示一个简短的一次性代码(攻击者已从 Microsoft 请求了 user_code)。

用户随后会被重定向到合法的微软验证 URI,并被指示粘贴验证码。由于验证页面是真实的,用户会在微软网站上完成多重验证提示,从而在不知情的情况下批准了攻击者控制的设备。

获得批准后,攻击者会立即获取 access_token、id_token 以及至关重要的 refresh_token,从而实现对电子邮件、OneDrive 和 Teams 的长时间、隐蔽访问。

该活动包括规避措施:使用 CAPTCHA 门阻止自动爬虫、使用合法域名作为开放重定向,以及本地化版本,例如针对巴西的葡萄牙语电子邮件。

使用信誉良好的域名作为重定向器会使初始筛选更加困难,因为可见的域名看起来值得信赖,而 URL 参数会将受害者引导至攻击者的基础设施。

防御者必须超越简单的域检查。应明确培训用户拒绝任何未经其发起的设备授权,并且绝不粘贴通过非公开渠道或未经请求的消息收到的一次性验证码。

将鼠标悬停在 Microsoft 网站上以检查完整的 URL 并检查重定向参数(redirect_uri、return_url、next)会有所帮助,但当最终交互发生在 Microsoft 网站上时,这还不够。

在企业层面,管理员应评估设备代码流是否必要,如果不需要,则通过Microsoft Entra ID 中的条件访问策略禁用它。

在必要的地方,实施严格的条件访问规则:要求设备合规,限制允许的平台和 IP 区域,并强制执行会话和令牌生命周期限制,以减少滥用窗口。

监控 DeviceCodeSignIn 事件,并对异常批准、意外的 refresh_token 使用以及来自陌生位置或新应用程序的登录创建警报。

实施令牌生命周期策略并迅速撤销可疑的刷新令牌将限制持久访问。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《黑客利用受信任的微软域名和一次性代码劫持企业账户》

评论:0   参与:  0