【安全资讯】黑客利用设备代码钓鱼攻击瞄准Microsoft Entra账户

概要：

近期，网络安全领域出现一种结合设备代码钓鱼与语音钓鱼（vishing）的新型攻击手法，专门针对科技、制造和金融行业的组织。攻击者滥用OAuth 2.0设备授权流程，通过社会工程学手段诱骗受害者，从而窃取Microsoft Entra账户的有效认证令牌，绕过多因素认证，对企业数据安全构成严重威胁。

主要内容：

此次攻击的核心在于滥用微软合法的OAuth 2.0设备授权流程。攻击者利用开源工具生成一个“设备码”和“用户码”，然后通过电话（vishing）联系目标员工，诱使其在微软官方认证页面（microsoft.com/devicelogin）输入该用户码。

当受害者输入代码并完成常规登录及多因素认证后，攻击者使用的合法OAuth应用（甚至包括微软自家的应用）便获得了账户授权。这使得整个流程看起来非常可信，降低了受害者的警惕性。授权完成后，攻击者即可使用“设备码”获取受害者的刷新令牌，进而交换为访问令牌。

凭借这些访问令牌，攻击者能够以用户身份访问其Microsoft Entra账户及所有配置了单点登录的SaaS应用，如Microsoft 365、Salesforce等，从而窃取企业数据进行勒索。安全公司KnowBe4还发现了结合传统钓鱼邮件传播此类攻击的变种。

安全专家建议受影响组织审核并撤销可疑的OAuth应用授权，审查Azure AD登录日志中的设备代码认证事件，并在非必要时关闭设备代码流选项，以加强防护。