17173 > 游戏资讯 > 科技新闻 > 正文

利用微软官方域名,卡巴斯基披露新型钓鱼攻击

2026-07-07 14:00:57 神评论
17173 新闻导语

卡巴斯基揭秘新型钓鱼攻击:攻击者利用微软官方域名及OAuth 2.0设备授权流程,绕过验证窃取令牌。用户需警惕伪装律师事务所邮件及一次性代码陷阱,防范邮箱、OneDrive及Teams数据泄露。

7 月 7 日消息,卡巴斯基昨日(7 月 6 日)发布博文,披露称在 2026 年 4~5 月期间,监测发现有攻击者利用微软身份平台(Microsoft Identity Platform),执行网络钓鱼活动。

攻击者利用该平台 OAuth 2.0 设备授权授予(Device Authorization Grant)流程,诱导用户在微软官方页面输入一次性代码,并在认证完成后窃取 access_tokenrefresh_tokenid_token

援引博文介绍,在正常流程中,用户需在另一台设备访问 verification_uri,例如 https://microsoft.com/devicelogin,再输入 user_code 完成授权。

客户端随后轮询 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token,并以 urn:ietf:params:oauth:grant-type:device_code 作为 grant_type 请求令牌。若用户尚未确认,服务器返回 authorization_pendingslow_down

认证完成后,服务器向应用下发 access_tokenrefresh_tokenid_token 等 Tokens,当前 access_token 到期后,设备可用 refresh_token 静默换取新 Token,access_token 的典型有效期为 1 小时。

而根据卡巴斯基披露的细节,初始邮件伪装成律师事务所通知,并附带一个受密码保护的 PDF。受害者输入密码后,会看到列有多份文档的落地页,但查看文档需点击页面链接。该链接表面指向合法微软地址,实际借助 URL 参数把用户重定向至仿冒企业法律门户的钓鱼页面。

该钓鱼页面设置了多重 CAPTCHA,随后引导用户复制一次性代码。这个代码即攻击者服务器预先从 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode 获取的 user_code

用户点击代码后,页面会自动复制内容并跳转至微软真实认证页。受害者在微软官方页面完成多因素认证后,攻击者即可获得该会话的 access_tokenrefresh_tokenid_token,并读取或发送邮箱邮件、导出 OneDrive 文件、访问 Teams 对话。

【来源:IT之家】