IT之家 7 月 7 日消息,卡巴斯基昨日(7 月 6 日)发布博文,披露称在 2026 年 4~5 月期间,监测发现有攻击者利用微软身份平台(Microsoft Identity Platform),执行网络钓鱼活动。

攻击者利用该平台 OAuth 2.0 设备授权授予(Device Authorization Grant)流程,诱导用户在微软官方页面输入一次性代码,并在认证完成后窃取 access_tokenrefresh_tokenid_token

IT之家援引博文介绍,在正常流程中,用户需在另一台设备访问 verification_uri,例如 https://microsoft.com/devicelogin,再输入 user_code 完成授权。

客户端随后轮询 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token,并以 urn:ietf:params:oauth:grant-type:device_code 作为 grant_type 请求令牌。若用户尚未确认,服务器返回 authorization_pendingslow_down

认证完成后,服务器向应用下发 access_tokenrefresh_tokenid_token 等 Tokens,当前 access_token 到期后,设备可用 refresh_token 静默换取新 Token,access_token 的典型有效期为 1 小时。

而根据卡巴斯基披露的细节,初始邮件伪装成律师事务所通知,并附带一个受密码保护的 PDF。受害者输入密码后,会看到列有多份文档的落地页,但查看文档需点击页面链接。该链接表面指向合法微软地址,实际借助 URL 参数把用户重定向至仿冒企业法律门户的钓鱼页面。

打开网易新闻 查看精彩图片

该钓鱼页面设置了多重 CAPTCHA,随后引导用户复制一次性代码。这个代码即攻击者服务器预先从 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode 获取的 user_code

打开网易新闻 查看精彩图片

用户点击代码后,页面会自动复制内容并跳转至微软真实认证页。受害者在微软官方页面完成多因素认证后,攻击者即可获得该会话的 access_tokenrefresh_tokenid_token,并读取或发送邮箱邮件、导出 OneDrive 文件、访问 Teams 对话。

打开网易新闻 查看精彩图片