OAuth 设备码钓鱼攻击：绕过 MFA 攻陷 Microsoft 365 帐户的新趋势与防御

2025 年 12 月，安全研究机构与 Microsoft 官方均公开了利用 OAuth 2.0 设备授权流程的钓鱼攻击案例。攻击者通过伪造“设备码”授权页面，诱使受害者在 Microsoft 官方登录入口输入码，进而获得可直接访问邮箱、OneDrive、Teams 等核心服务的访问令牌，完全绕过了传统密码与 MFA 的双重防线。(iThome, 2025) 这一新型攻击方式在企业安全生态中迅速蔓延，迫使 IT 与安全团队重新审视 OAuth 作为身份授权标准的风险与防御策略。

一、攻击概览

攻击流程：① 受害者收到看似可信的邮件或即时通讯消息，链接指向「microsoft.com/devicelogin」。② 受害者在该页面输入攻击者提供的设备码，完成授权。③ Microsoft 生成访问令牌并授予攻击者对受害者账户的高权限访问。
社交工程要点：攻击信息多以薪资、福利、会议邀请等业务场景包装，用户习惯性点击并执行授权，降低警觉性。(Proofpoint, 2025)
攻击面扩大：由于授权流程合法且在官方域名下进行，传统邮件网关与 URL 重写无法识别，MFA 也无法阻断，令攻击者获得持久化访问。(iThome, 2025)

二、技术细节与典型工具

恶意 OAuth 应用：攻击者先注册 OAuth 应用，申请「Mail.Read」、「Files.ReadWrite.All」等高权限作用域。应用名与官方工具高度仿真，诱导用户信任。
设备码生成与传递：攻击者使用 SquarePhish2 或 Graphish 等工具包自动化生成设备码，并通过 QR Code 或邮件嵌入方式发送给受害者。
令牌持久化：获取到访问令牌后，攻击者可使用 Microsoft Graph API 进行数据外传、横向移动，甚至在租户内部署持久化脚本。

三、已知案例与影响

企业级受害：多家政府机关、智库及高等教育机构被确认遭受此类攻击，攻击者在接管账户后获取机密文件与内部会议纪要。
跨境传播：攻击团伙（如 TA2723、UNK_AcademicFlare）在欧美地区展开大规模活动，利用语言本地化与业务场景渗透。(Proofpoint, 2025)

四、防御与缓解措施

1️⃣ 条件访问策略封锁：在 Azure AD 中启用「Device Code Flow」的拒绝策略，或仅允许已加入 Intune 的合规设备完成授权。
2️⃣ 应用白名单与审计：使用 Microsoft Entra ID 的应用管理功能，限制第三方 OAuth 应用仅在内部批准后可使用，定期审计授权日志。
3️⃣ 终端侧拦截：部署浏览器扩展（如「Check」或自研规则）在用户点击恶意链接前进行拦截，阻止设备码输入。
4️⃣ 安全意识培训：强调「不在未主动发起请求的情况下输入任何设备码」的原则，提供快速验证流程（如向安全团队提交可疑链接）。
5️⃣ 令牌撤销监控：编写自动化脚本，定期查询租户内的 OAuth 设备码授权并在异常时立即撤销。

示例 PowerShell 脚本（撤销所有设备码授权）：

📂 收合（點我收起）

Connect-AzAccount
$apps = Get-AzureADApplication | Where-Object {$_.Oauth2PermissionScope -like "*DeviceCode*"}
foreach ($app in $apps) {
  Remove-AzureADApplication -ObjectId $app.ObjectId
}
Write-Host "已撤销所有可疑设备码授权"

五、结论

OAuth 设备码钓鱼攻击展示了合法身份授权协议被恶意利用的风险。传统 MFA 机制在此情境下失效，攻击者可快速获得高权限令牌并进行持久化渗透。企业需要从协议治理、终端防御与用户教育三方面构建纵深防御，及时更新 Azure AD 条件访问策略，并强化第三方 OAuth 应用的审批与审计流程，以遏制此类新型攻击。

MITRE ATT&CK 對應

T1566 – Phishing (Initial Access)
T1078 – Valid Accounts (Use of legitimate credentials)
T1078.002 – Valid Accounts: Application Access Tokens
T1059 – Command and Scripting Interpreter (PowerShell scripts for token revocation)
T1078.005 – Valid Accounts: Device Code Flow