文章总结： 文档揭示了一种新型OAuth钓鱼攻击可绕过MFA保护，攻击者通过伪造微软设备登录页面诱导用户授权，直接获取长期有效的刷新令牌而非密码。此类攻击不会触发MFA重复验证或留下明显入侵痕迹，因令牌有效期长达数月且密码重置无效。关键风险在于多个OAuth授权的交叉组合会形成毒性权限桥接，建议企业将OAuth授权纳入身份治理体系并采用实时监控平台管理令牌生命周期。 综合评分： 82 文章分类： 威胁情报,应用安全,安全意识,漏洞分析,安全运营

OAuth钓鱼攻击绕过MFA窃取企业数据，刷新令牌成黑客新武器

FreeBuf

2026年5月20日 18:00 上海

在小说阅读器读本章

去阅读

2026年2月，名为EvilTokens的钓鱼即服务（PhaaS）平台开始运作。短短五周内，该平台就成功入侵了五个国家超过340家微软365企业用户。受害者会收到要求他们在microsoft.com/devicelogin输入短代码并完成常规多因素认证（MFA）验证的消息，误以为只是例行登录验证。实际上，他们向攻击者提供了可访问其邮箱、云盘、日历和联系人的有效刷新令牌——这些令牌的有效期取决于租户策略而非单次会话。

攻击者无需获取密码、不会触发MFA提示、也不会留下看似入侵的登录记录。攻击之所以成功，是因为OAuth授权界面已成为用户习惯性点击的对象，而现有反钓鱼机制并未监控授权层。安全研究人员将这种现象称为”授权钓鱼”或”OAuth授权滥用”——过去十年间关键的钓鱼点击会泄露密码，如今则直接交出刷新令牌，且这种攻击位于多数企业仍视为安全边界的身分控制体系之下。

Part01

为何MFA无法识别OAuth授权

传统凭证钓鱼需要重放获取的用户名和密码，而现代身分验证体系通常会在重放时要求第二因素验证。即便是中间人攻击（AiTM）工具产生的会话cookie，也会被SIEM系统结合地理位置、设备和行程模式进行分析。

图1：凭证钓鱼会留下SIEM可关联的登录痕迹

OAuth授权则不会产生凭证重放。用户在合法的身分提供者完成认证，在正规域名通过MFA验证后点击”接受”。攻击者获得的令牌是系统正常运作的产物——由身分提供者签发、限定于用户同意的范围、且可刷新。MFA无法阻止此类攻击，因为MFA验证已经完成。

图2：OAuth授权不会留下重放痕迹，仅产生可刷新令牌

另一个问题是刷新令牌会延长攻击窗口。EvilTokens分发的令牌在密码重置后依然有效，有效期从数周至数月不等（取决于租户配置）。修改密码不会使授权失效，只有显式撤销或要求重新授权的条件访问策略才能终止访问。

Part02

授权常态化的演变过程

这种攻击向量自OAuth标准化以来就存在，变化的是其运作环境。用户已养成点击授权界面的习惯，频率堪比曾经的cookie横幅。每个AI Agent安装、生产力工具集成、涉及SaaS账户的浏览器扩展都会触发授权请求。现代知识工作者每月接触的合法授权请求量，已远超当初设计OAuth威胁模型时的预期。

授权范围描述也采用模糊风险的表述。”读取邮件”看似受限，实则涵盖用户可访问的所有消息、附件和共享线程；”在您不在场时访问文件”意味着签发长期令牌时用户无法立即撤销。授权描述与实际权限的落差正是攻击者的操作空间。

Part03

应用所有者视野下的毒性组合

单个OAuth授权仅让攻击者获得特定应用的有限权限，真正的风险在于多个权限的交叉组合。例如：财务人员授权AI会议摘要工具访问其日历和邮箱，又授权生产力助手访问公司共享云盘，再授权CRM增强工具连接客户数据库。每个授权单独审批，但没有任何应用所有者批准过这种组合——此时风险面已扩展为三个权限通过同一用户身份交叉关联，会议摘要工具一旦沦陷，攻击者可通过同一用户触及合同草案和客户记录。

这种”毒性组合”是指跨应用的权限分解，通过OAuth授权、集成或AI Agent桥接形成，没有任何单一应用所有者将其视为独立风险面。由于桥接关系存在于所有应用之外，单个应用的审计日志无法察觉。

图3：两个SaaS应用间未经共同批准的毒性组合

MCP安装、OAuth授权点击、浏览器扩展授权——每个桥接都产生于一次点击。模型上下文协议（MCP）服务器正成为新一代OAuth式攻击面，允许Agent通过授权界面现有的”一次性信任”机制获取限定权限。2025年Salesloft-Drift事件展示了规模化后果：遭入侵的下游连接器通过客户合法批准的OAuth令牌扩散至700多个Salesforce租户。每个客户都授权了集成，但无人批准级联效应。

Part04

关键检查项清单

弥合这一缺口需要将OAuth授权纳入现有认证安全体系。以下检查项可揭示真实风险点：

流程管控存在局限——这些桥接存在于没有单一应用拥有的关系图中，且其创建速度与MCP安装或OAuth点击相当。持续监控需要专门针对运行时关系层的平台。

Part05

AI安全平台的应对之道

新一代平台可自动处理多数此类问题。它们实时映射每个OAuth授权、AI Agent和第三方集成到身分关系图，而非等待下次审计，并持续展示桥接关系、闲置令牌和策略偏差。

以Reco为例，该平台将AI Agent安全、身分治理和威胁检测整合至统一控制平面。其”身分知识图谱”将人类与非人类身份关联到他们在SaaS环境中可访问的应用、OAuth授权和集成。

图4：Reco平台展示的AI Agent OAuth授权及关联账户

该平台实时发现新增AI Agent和OAuth授权，将每个权限范围映射至批准者身份，监控行为偏差，并在令牌（而非账户）级别撤销访问。这为安全团队提供了信任关系实际形成的运行时层可见性。

授权钓鱼可能不会长期处于边缘地位。防钓鱼认证已获多年投入和审查，而授权层仍主要依赖信任。弥合这一缺口意味着要以对待认证的同等可见性、监控和撤销机制来管理OAuth授权与AI Agent连接。

参考来源：

The New Phishing Click: How OAuth Consent Bypasses MFA

https://thehackernews.com/2026/05/the-new-phishing-click-how-oauth.html

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《OAuth钓鱼攻击绕过MFA窃取企业数据，刷新令牌成黑客新武器》