Device Code Phishing через Microsoft: как OAuth-фишинг обходит MFA

📋 Кратко

Device Code Phishing — новая волна атак, при которой злоумышленники используют легитимный протокол OAuth 2.0 Device Authorization Grant (RFC 8628) для обхода многофакторной аутентификации. Вместо кражи пароля жертву заставляют самостоятельно авторизовать приложение злоумышленника на официальной странице Microsoft. Атака не требует перехвата SMS-кодов или push-уведомлений — жертва вводит код со своего устройства, и MFA выполняется на её стороне, что делает защиту бессильной. С конца 2024 года зафиксировано несколько крупных кампаний, скомпрометировавших сотни корпоративных учётных записей по всему миру.

⏱ 8 минут чтениясложность

Многофакторная аутентификация (MFA) долгое время считалась золотым стандартом защиты корпоративных учётных записей. Однако в 2025–2026 годах киберпреступники нашли способ обходить её, не взламывая сам механизм. Атака получила название Device Code Phishing — и она использует против организаций их же собственную инфраструктуру.

В отличие от классического фишинга, где жертву заставляют ввести пароль на поддельной странице, Device Code Phishing перенаправляет пользователя на официальный сайт Microsoft login.microsoftonline.com. Жертва самостоятельно вводит код, полученный от злоумышленника, и авторизует вредоносное приложение. MFA при этом срабатывает штатно — и не может предотвратить компрометацию. Рассказываем, как устроена эта атака, почему она так опасна и как от неё защититься.

Хакер генерирует коды устройств на голографическом терминале
Хакер генерирует коды устройств на голографическом терминале

🔍 Что такое Device Code Phishing и как он работает

Device Code Phishing (также известный как OAuth Device Code Phishing) эксплуатирует легитимный протокол OAuth 2.0 Device Authorization Grant, описанный в стандарте RFC 8628. Этот протокол был разработан для устройств с ограниченным вводом — например, для Smart TV, игровых консолей, принтеров и IoT-устройств, на которых неудобно вводить длинные пароли.

Поток данных обходит защитный барьер MFA через OAuth
Поток данных обходит защитный барьер MFA через OAuth

Вместо ввода логина и пароля пользователю предлагается перейти на страницу https://microsoft.com/devicelogin, ввести короткий код и авторизовать приложение. Проблема в том, что этот же механизм можно использовать во вредоносных целях.

⚠ Ключевая особенность: Device Code Phishing не требует от жертвы ввода пароля на фишинговом сайте. Вся аутентификация проходит на официальной странице Microsoft. Это делает атаку практически неотличимой от легитимного процесса для пользователя и систем защиты.

Схема атаки состоит из нескольких этапов:

  • Регистрация приложения. Злоумышленник регистрирует приложение в Azure AD / Microsoft Entra ID, настраивая его на использование Device Code Flow. Приложение может выдавать себя за легитимный сервис — корпоративный VPN, облачное хранилище или средство для совместной работы.
  • Генерация кода. Атакующий обращается к конечной точке OAuth Microsoft и получает уникальный код устройства и URL для его активации (обычно https://microsoft.com/devicelogin).
  • Доставка кода жертве. Злоумышленник отправляет код цели через фишинговое письмо, сообщение в мессенджере или поддельное уведомление от IT-отдела. В сообщении говорится: «Для продолжения работы перейдите по ссылке и введите код XXXX». Письма часто содержат логотипы Microsoft и выглядят как официальные уведомления.
  • Ввод кода жертвой. Жертва переходит на официальную страницу Microsoft, вводит полученный код и проходит MFA (вводит код из SMS, подтверждает push-уведомление или использует биометрию).
  • Перехват токенов. После успешной аутентификации Microsoft выдаёт токены доступа вредоносному приложению злоумышленника. Атакующий получает полный доступ к почте, файлам, календарю и контактам жертвы.

⚙️ Почему Device Code Flow обходит MFA

Многие организации ошибочно полагают, что внедрение MFA решает все проблемы с защитой учётных записей. Device Code Phishing демонстрирует, что это не так. Причина кроется в самой архитектуре протокола.

Глобальная карта кибератак с красными очагами заражения
Глобальная карта кибератак с красными очагами заражения

Когда пользователь вводит код устройства на странице login.microsoft.com и проходит MFA, он авторизует не свою сессию, а приложение, которое запросило этот код. MFA подтверждает личность пользователя — но токены доступа передаются приложению злоумышленника. Для Microsoft такой сценарий выглядит как легитимная авторизация: реальный пользователь, реальное устройство, реальная MFA.

📊 Статистика: Согласно отчётам аналитиков, более 60% атак Device Code Phishing успешно обходят все настроенные политики условного доступа (Conditional Access) в Microsoft 365. Это связано с тем, что Device Code Flow по умолчанию исключён из многих политик, либо его настройка требует ручного добавления исключений.

Кроме того, Device Code Flow изначально проектировался как протокол для устройств без браузера, поэтому для него не работает такая защита, как привязка к конкретному устройству или IP-адресу — атакующий может находиться в любой точке мира. Токены обновления (refresh tokens), полученные через Device Code Flow, действуют до 90 дней, что даёт злоумышленнику длительный плацдарм.

🌍 Реальные кампании: масштаб угрозы

Device Code Phishing перестал быть теоретической угрозой — в 2025–2026 годах зафиксировано несколько крупномасштабных кампаний, нацеленных на корпоративных пользователей Microsoft 365 по всему миру.

Аналитик SOC обнаруживает подозрительную OAuth-авторизацию
Аналитик SOC обнаруживает подозрительную OAuth-авторизацию

Кампания «Saroula01»: год непрерывных атак

Одна из самых продолжительных кампаний была связана с угрозой, отслеживаемой как Saroula01. В ходе этой операции, длившейся более года, было скомпрометировано не менее 218 жертв в нескольких странах. Злоумышленники использовали специально написанную программу для генерации кодов устройств и автоматизации процесса. Кампания в первую очередь нацеливалась на корпоративных пользователей — сотрудников государственных учреждений, промышленных предприятий и финансового сектора.

Массовые атаки конца 2025 года

В декабре 2025 года была зафиксирована массовая волна атак на Microsoft 365, в рамках которой Device Code Flow использовался в сочетании с социальной инженерией. Атакующие маскировали свои запросы под уведомления Microsoft Defender или корпоративные службы безопасности. Эксперты ReaQta и Rescana отметили, что кампании постоянно эволюционировали: менялись тексты писем, использовались разные легитимные приложения для регистрации, а сами атаки проводились через прокси и VPN-сервисы для сокрытия инфраструктуры.

Российский контекст

Отдельную озабоченность вызывает использование Device Code Phishing против российских организаций, активно внедряющих импортозамещённые решения на базе Microsoft 365. В условиях санкционных ограничений и миграции многие компании недостаточно контролируют использование OAuth-приложений в своих арендаторах, что создаёт дополнительные возможности для злоумышленников. Атаки на организации из России и стран СНГ фиксируются с начала 2025 года.

🔬 Как распознать атаку: индикаторы компрометации

Device Code Phishing сложно обнаружить стандартными средствами защиты, поскольку аутентификация проходит на легитимных ресурсах. Однако существуют косвенные признаки, по которым можно выявить атаку:

Многослойная защита: Conditional Access и Zero Trust архитектура
Многослойная защита: Conditional Access и Zero Trust архитектура
  • Необычные запросы на авторизацию приложений. Если сотрудник получает уведомление «Подтвердите вход» для незнакомого приложения — это повод для проверки. Особенно если запрос пришёл вне рабочего времени или из необычной географической локации.
  • Фишинговые письма с кодом устройства. Злоумышленники редко пишут идеальные письма. Обращайте внимание на грамматические ошибки, нестандартный стиль обращения, подозрительные домены отправителя, даже если письмо содержит логотипы Microsoft.
  • Массовые регистрации новых OAuth-приложений. Внезапное появление десятков зарегистрированных приложений в Azure AD — тревожный сигнал. Администраторы должны регулярно проверять список корпоративных приложений.
  • Необычная активность токенов. Современные SIEM-системы могут выявлять аномалии в использовании токенов доступа — например, если один и тот же токен используется с разных IP-адресов или устройств.

🛡️ Методы защиты от Device Code Phishing

Для защиты от Device Code Phishing требуется комплексный подход, сочетающий технические меры на уровне Azure AD / Entra ID и организационные меры по повышению осведомлённости сотрудников.

Экстренный отзыв токенов и блокировка вредоносного приложения
Экстренный отзыв токенов и блокировка вредоносного приложения

Отключение Device Code Flow — самый надёжный метод

Если в вашей организации не используются устройства с ограниченным вводом (Smart TV, консоли, IoT), самый простой и эффективный способ защиты — полностью отключить Device Code Flow на уровне арендатора. Это делается через политики условного доступа (Conditional Access) в Microsoft Entra ID. Настройка «Block device code flow» блокирует возможность использования этого протокола для всех приложений.

Политики условного доступа

Если полное отключение невозможно, настройте политики условного доступа, которые требуют соответствия устройства, конкретной локации или членства в доверенной группе для приложений, использующих Device Code Flow. Регулярно проверяйте, какие приложения имеют право использовать этот протокол.

Мониторинг OAuth-приложений

Регулярно аудируйте сторонние приложения, зарегистрированные в Azure AD. Используйте инструменты Microsoft Defender for Cloud Apps для обнаружения подозрительных OAuth-приложений. Обращайте внимание на приложения с недавней регистрацией, минимальными метаданными и запросами расширенных разрешений (Mail.Read, Files.ReadWrite.All).

Обучение сотрудников

Проведите тренинги по информационной безопасности, включив в них сценарии Device Code Phishing. Сотрудники должны знать, что:

  • Легитимные IT-отделы никогда не запрашивают ввод кода на странице devicelogin по электронной почте или телефону.
  • Любой неожиданный запрос на авторизацию приложения требует проверки через второй канал связи.
  • Перед вводом кода устройства всегда нужно проверять URL в адресной строке.

Ограничение времени жизни токенов

Настройте политики токенов в Microsoft Entra ID так, чтобы срок действия токенов обновления был минимально возможным. Используйте политики токенов сеансов (Session Token Policies) для ограничения долгоживущих сессий, особенно для приложений, использующих Device Code Flow.

Внедрение принципов Zero Trust

Подход Zero Trust предполагает, что ни одному запросу на доступ нельзя доверять по умолчанию — независимо от того, откуда он поступает. В контексте Device Code Phishing это означает постоянную проверку каждого запроса на доступ, использование политик рисков (Identity Protection) и поведенческого анализа пользователей UEBA.

🚀 Что делать при компрометации

Если вы обнаружили, что учётная запись была скомпрометирована через Device Code Phishing, действуйте по следующему плану:

  1. Отзовите токены. Немедленно отзовите все токены обновления и доступа для скомпрометированной учётной записи через портал Azure AD.
  2. Заблокируйте вредоносное приложение. Найдите вредоносное приложение в списке корпоративных приложений Azure AD и заблокируйте его. Удалите согласия, предоставленные этому приложению.
  3. Сбросьте пароль. Даже если пароль не был скомпрометирован напрямую, выполните принудительный сброс пароля для всех скомпрометированных учётных записей.
  4. Проверьте почтовые правила. Злоумышленники часто создают правила пересылки почты для долгосрочного доступа. Проверьте правила Inbox в Outlook / Exchange.
  5. Инициируйте расследование. Используйте логи аудита Azure AD, чтобы определить полный масштаб компрометации. Проверьте, какие ресурсы были доступны злоумышленнику.
  6. Усильте защиту. Отключите Device Code Flow, пересмотрите политики OAuth-приложений и проведите дополнительное обучение сотрудников.

Device Code Phishing — яркий пример того, как легитимные технологические механизмы превращаются в векторы атак, когда их используют без должного контроля. Защита требует не только внедрения MFA, но и постоянного мониторинга OAuth-экосистемы, понимания особенностей протоколов аутентификации и готовности адаптировать политики безопасности по мере появления новых угроз.

📚 Читайте также

📖 Термины

IAM (Identity and Access Management) · MFA · OAuth · Zero Trust · Социальная инженерия · Фишинг

🔗 Источники