IT之家 12 月 23 日消息，科技媒體 Windows Report 昨日（12 月 22 日）發(fā)布博文，報道稱黑客目前正利用微軟合法的 OAuth 2.0 設(shè)備授權(quán)流程，繞過密碼與多因素認(rèn)證（MFA）防線，直接接管企業(yè)級 Microsoft 365 賬戶。

IT之家注：微軟 OAuth 2.0 設(shè)備授權(quán)流程是一種允許輸入能力受限的設(shè)備（如智能電視、打印機(jī)）通過輔助設(shè)備（如手機(jī)、電腦）訪問用戶賬戶的認(rèn)證標(biāo)準(zhǔn)。

用戶在瀏覽器輸入設(shè)備上顯示的代碼即可完成授權(quán)。黑客利用此機(jī)制，誘騙用戶在手機(jī)上輸入黑客持有的代碼，從而獲得賬戶權(quán)限。

此類網(wǎng)絡(luò)釣魚活動的核心在于誘騙。攻擊者通過偽造緊急驗(yàn)證請求或一次性密碼消息，誘導(dǎo)受害者訪問微軟真實(shí)的驗(yàn)證頁面并掃碼輸入特定的設(shè)備代碼。一旦用戶完成輸入，微軟系統(tǒng)便會生成一個訪問 tokens 并授權(quán)給攻擊者。

獲得 tokens 后，黑客能立即接管受害者賬戶，不僅可以竊取敏感數(shù)據(jù)，還能在企業(yè)系統(tǒng)中進(jìn)行橫向移動，甚至建立長期的持久化訪問權(quán)限，造成難以估量的損失。

安全研究機(jī)構(gòu) Proofpoint 的追蹤數(shù)據(jù)顯示，相關(guān)攻擊活動至少自 2025 年 9 月便已開始活躍。攻擊者廣泛使用了 SquarePhish2（含二維碼誘餌）和 Graphish（自動化攻擊流程）等工具包。

其中，以經(jīng)濟(jì)利益為驅(qū)動的團(tuán)伙（如 TA2723）常利用薪資更新、福利通知等主題設(shè)局。由于登錄過程發(fā)生在合法的微軟域名下，多數(shù)傳統(tǒng)網(wǎng)絡(luò)釣魚檢測工具無法識別此類異?；顒印?/p>

專家警告，鑒于 MFA 在此類攻擊中形同虛設(shè)，企業(yè)必須嚴(yán)密監(jiān)控 OAuth 設(shè)備代碼的使用情況，并限制不必要的認(rèn)證流程。

同時，員工需提高警惕，切勿在未主動發(fā)起請求的情況下輸入驗(yàn)證代碼。為應(yīng)對此類利用合法機(jī)制的漏洞，微軟已推出“In Scope by Default”計劃，旨在將其安全響應(yīng)范圍擴(kuò)大，以便未來能更快速地識別并處置此類新型利用手段。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。