文章总结： 文章披露了一起针对Microsoft365用户的钓鱼攻击活动，攻击者滥用OAuth设备授权许可流程，诱骗用户在微软官方登录页面完成认证后窃取令牌，绕过MFA实现长期持久访问。攻击主要针对北美商业用户，通过社会工程手段诱导受害者授权恶意应用。防御建议包括阻断恶意域名、审核可疑OAuth应用、禁用或限制设备代码流程以及加强用户安全意识教育。 综合评分： 82 文章分类： 威胁情报,漏洞分析,社会工程学,云安全,安全建设

攻击者借Microsoft365 OAuth令牌窃取数据，企业面临长期隐秘入侵风险

FreeBuf

2026年2月22日 18:03 上海

#

一项针对Microsoft365用户的钓鱼攻击活动正在持续进行，攻击者通过滥用OAuth令牌获取企业数据的长期访问权限。该活动主要针对北美地区的商业用户，旨在入侵Outlook、Teams和OneDrive账户，且无需直接窃取密码。

与传统攻击方式不同，攻击者并非通过伪造登录页面实施攻击，而是诱骗受害者在微软官方设备登录门户完成真实登录流程，这使得用户和基础安全工具都更难识别攻击行为。一旦得手，攻击者就能悄无声息地读取、发送和管理电子邮件及文件，对内部通信和敏感文档构成严重威胁。

#

Part01

攻击手法分析

KnowBe4威胁实验室研究人员于2025年底发现该攻击活动，追踪到攻击者将逼真的钓鱼邮件与OAuth 2.0设备授权许可流程相结合，从而绕过强密码和多因素认证（MFA）。分析显示，攻击者高度依赖具有说服力的社会工程手段，使用付款确认、奖金相关文件和语音邮件提醒等主题，诱使忙碌的专业人士快速采取行动。

由于受害者是在合法的微软页面上完成登录，许多人误以为该过程是安全的，但实际上他们最终授予了攻击者控制的恶意应用程序访问权限。

Part02

攻击流程详解

当用户在微软设备登录页面输入攻击者提供的设备代码后，微软身份平台会颁发与该受害者账户绑定的有效OAuth访问令牌和刷新令牌，攻击者随即实时捕获这些令牌。这些令牌使入侵者能够维持持久访问权限，且通常不会在传统的凭据监控中触发明显警报。受影响组织可能会发现未经授权的邮箱操作、文件访问和潜在的数据外泄，所有这些行为都看似来自合法用户上下文。

该攻击流程完整展示了从初始钓鱼诱饵到设备代码滥用，再到令牌窃取和长期账户访问的完整攻击链。该活动的核心在于滥用OAuth设备授权许可流程——该功能本是为输入选项有限的设备设计，但在此被攻击者重新利用以规避常规防御措施。

Part03

技术实现细节

攻击者首先在Microsoft365中注册一个OAuth应用程序，并生成与该应用映射的唯一设备代码。随后将该代码嵌入精心设计的钓鱼邮件中，引导受害者访问攻击者控制的登录页面，诱使用户输入电子邮件并遵循”安全认证”步骤。

当受害者按照指示访问合法的microsoft.com/devicelogin门户并提交提供的代码后，攻击者会持续轮询令牌端点，一旦微软批准会话，便立即劫持颁发的OAuth访问令牌和刷新令牌。

Part04

防御建议

为降低风险，安全团队应采取以下措施：

• 阻断与该活动相关的已知恶意域名和云存储URL
• 在电子邮件日志中搜索已识别的发件人地址和主题模式
• 紧急审核最近同意的OAuth应用程序中的可疑条目

在业务允许的情况下，管理员应考虑完全禁用设备代码流程，或通过条件访问策略严格限制其使用，同时审查Azure AD登录日志中异常的设备代码活动和地理位置异常。结合针对紧急付款通知、意外文档共享和语音邮件警报的持续用户安全意识教育，这些措施可帮助组织在造成更深层次损害之前检测并遏制类似的OAuth令牌窃取企图。

参考来源：

Ongoing Campaign Targets Microsoft 365 to Steal OAuth Tokens and Gain Persistent Access

Ongoing Campaign Targets Microsoft 365 to Steal OAuth Tokens and Gain Persistent Access

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《攻击者借Microsoft365 OAuth令牌窃取数据，企业面临长期隐秘入侵风险》