文章总结： Proofpoint报告指出，黑客滥用OAuth2.0设备授权流程实施设备代码钓鱼以劫持微软365账户。攻击者诱骗用户在合法门户输入代码获取令牌，绕过MFA及传统检测。该手段利用社会工程学制造紧迫感，已被多类威胁组织采用，标志着攻击战术向窃取密钥转变。建议加强OAuth流程监控及用户教育。 综合评分： 88 文章分类： 威胁情报,社会工程学,漏洞分析,安全意识,WEB安全

黑客滥用”设备代码”绕过安全防护劫持微软365账户

FreeBuf

2025年12月22日 18:31 上海

网络犯罪分子发现了一种将企业安全协议反制为攻击工具的新方法，他们武器化微软的合法认证功能来窃取用户账户。Proofpoint威胁研究团队的最新报告详细介绍了”设备代码钓鱼”攻击的激增情况，这种技术通过诱骗用户在受信任网站上输入代码，就能完全控制其账户。

Part01

攻击手法演变：

从窃取密码到窃取账户密钥

该攻击活动标志着战术转变：黑客不再直接窃取密码，而是通过OAuth 2.0协议窃取账户本身的”密钥”。攻击利用了设备授权授予流程，这个功能原本设计用于帮助用户在智能电视或打印机等输入能力有限的设备上登录。在合法场景下，设备会显示一个代码，用户需在另一台电脑或手机上输入该代码以授权访问。

Part02

利用合法门户实施钓鱼攻击

攻击者劫持了这一流程。他们发送包含代码和微软官方登录门户(microsoft.com/devicelogin)链接的钓鱼邮件。由于网址是合法的，传统的钓鱼培训往往失效。报告警告称：”传统钓鱼意识培训通常强调检查网址合法性。这种方法无法有效应对设备代码钓鱼，因为用户是在受信任的微软门户上输入设备代码。”

Part03

多类型威胁组织广泛采用

这并非单一组织使用的孤立技术。Proofpoint研究人员观察到”多个威胁集群——包括国家支持型和金融动机型”都在采用这种方法。攻击目标简单但破坏性强：账户接管(ATO)。一旦用户输入代码，攻击者的恶意应用就会获得令牌，从而持久访问受害者的微软365账户。这种访问权限可用于”数据外泄等操作”，且通常能绕过未来会话中对用户密码的需求。

Part04

社会工程学制造紧迫感

这些攻击的成功很大程度上依赖于操控用户心理。诱饵通常模仿安全警报或管理请求，制造紧迫感。”这些攻击活动严重依赖社会工程学，最常使用嵌入网址或二维码的诱饵，让用户误以为是在保护账户。”通过将攻击伪装成安全更新或必要验证，攻击者说服用户执行导致自身受损的操作。

Part05

绕过MFA防护的新战线

随着组织采用多因素认证(MFA)和FIDO密钥加强防御，攻击者被迫寻找变通方法。滥用合法授权流程似乎成为新的攻击前沿。研究人员总结道：”Proofpoint评估认为，随着FIDO兼容MFA控制的采用，对OAuth认证流程的滥用将持续增长。”

参考来源：

Hackers Abuse “Device Codes” to Bypass Security and Seize Microsoft 365 Accounts

Hackers Abuse “Device Codes” to Bypass Security and Seize Microsoft 365 Accounts

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客滥用”设备代码”绕过安全防护劫持微软365账户》