Hakeri eksploatisu OAuth autentifikaciju Microsofta za krađu tokena naloga
Hakeri masovno eksploatuju OAuth device authorization flow Microsofta za krađu Microsoft 365 tokena kroz device code phishing kampanje.
Šta se desilo?
Napadači iskorišćavaju malo poznatu funkcionalnost Microsoftovog sistema za autentifikaciju - OAuth device authorization flow - kako bi u masovnom obuhvatu krali pristupne tokene naloga na Microsoft 365. Tehnike koje se nazivaju device code phishing doživele su dramatičan rast od kraja 2024. godine, a novost je što se napadi odvijaju isključivo kroz legitimnu Microsoftovu infrastrukturu, što čini njihovo detektovanje izuzetno otežanim.
Koga pogađa?
Prema istraživanju koje je sprovela Proofpoint kompanija, stotine kampanja od početka 2025. godine napadaju organizacije u različitim sektorima - od malih biznisa i vladenih institucija do kompanija sa liste Fortune 500. Tehniku koriste višestruke grupe napadača, uključujući TA4903, EvilProxy operatore, Storm-365, kao i grupe povezane sa ruskom kibernetskom infrastrukturom.
Kako se zaštititi?
- Blokirajte device code flow kroz conditional access politike kako bi se sprečila nelegalna autentifikacija sa neunaprijeđenih uređaja
- Zahtevajte da se korisnici loguju samo sa upravljanih ili usklađenih uređaja
- Sprovesti specijalizovanu obuku zaposlenih vezanu specifično za device code phishing napade, jer tradicionalna obuka o fišingu ne pokriva ovu tehniku
- Pratite i analizirajte OAuth logove za sumnjive aktivnosti
- Implementirajte zahtev za dodatnu autentifikaciju pri pristupu osetljivim resursima
Tehnički detalji
Napadači iskorišćavaju OAuth 2.0 device authorization flow - funkciju predviđenu za autentifikaciju na uređajima sa ograničenim mogućnostima unosa (smart TV, gaming konzole). Žrtve prime device kodove preko email poruka sa PDF prilozima, URL linkova ili QR kodova koji ih preusmere na zvaničnu Microsoft login stranicu. Kod ima rok od 15 minuta. Kada korisnik unese kod, napadač odmah dobija authentication token koji omogućava trajni pristup nalogu čak i ako korisnik kasnije promeni lozinku. Kampanje često koriste lažne Microsoft stranice na domenama kao što su onedrive-9tudh[.]thebootieselmny-thi-om-s-oundh[.]workers[.]dev i sličnim domenama na nspoint[.]com. Napadi se distribuiraju kroz socijalni inženjering sa lažnom identifikacijom poznatih servisa (DocuSign, Norton).
Preporuka Sajber Radara
Organizacije moraju hitno prilagoditi svoje odbrambene strategije jer ova vrsta napada zaobilazi tradicionalne sigurnosne alate. Device code phishing predstavlja kritičnu pretnju - čak i bezbednosno svesni korisnici mogu biti prevareni jer se ceo proces dešava na legitimnim Microsoft domenama bez ikakvih sumnjivих znakova upozorenja.
