Quando un vero accesso Microsoft diventa la trappola
Un servizio di phishing costruito attorno al flusso OAuth device code mostra come gli aggressori possano trasformare un percorso di accesso legittimo in furto di token, hijacking di sessione e bypass dell'MFA.
Alcune delle campagne di phishing più pericolose non si affidano più a pagine false. Sfruttano un vero flusso di accesso che gli utenti già considerano affidabile. In questo caso, l'esca non è una password rubata. È una fase di autorizzazione Microsoft dall'aspetto legittimo che può finire con un aggressore in possesso di token abbastanza potenti da restare all'interno di una sessione Microsoft 365.
Fatti rapidi
- Kali365 viene descritto come una piattaforma phishing-as-a-service rivolta agli account Microsoft 365.
- La tecnica si concentra sull'autenticazione OAuth device code, un flusso basato su standard per dispositivi con input limitato o senza browser.
- L'obiettivo è acquisire token che possono essere usati per mantenere l'accesso ed eludere i tradizionali prompt MFA.
- Microsoft considera il device code flow un percorso di autenticazione ad alto rischio e consente alle organizzazioni di bloccarlo o limitarlo strettamente.
- Il rapporto fornito non specifica la scala delle organizzazioni colpite o il numero di account compromessi.
Perché questo è tecnicamente importante
Il flusso OAuth device code è legittimo. Esiste per dispositivi limitati come TV e stampanti, dove digitare una password è scomodo o impossibile. L'utente approva l'accesso su un dispositivo separato e la piattaforma di identità emette quindi token per la sessione. Proprio questa comodità rende il flusso attraente per gli aggressori.
In uno scenario di phishing, la vittima viene convinta a completare un vero accesso che sembra di routine. Una volta che l'autorizzazione ha successo, l'aggressore può essere in grado di ottenere token correlati all'accesso legati alla sessione. Questo sposta il problema da credenziali rubate a fiducia di sessione rubata. Dal punto di vista difensivo, è più grave di un semplice problema di riutilizzo delle password, perché l'accesso basato su token può rimanere valido fino alla scadenza o alla revoca.
Il rischio pratico è che l'MFA possa essere soddisfatta durante la fase iniziale di approvazione, ma la sessione risultante diventi comunque utilizzabile dall'aggressore. In altre parole, l'attacco non consiste nell'eludere l'MFA in astratto. Consiste nell'ingannare una persona affinché autorizzi un flusso che era stato progettato per essere considerato affidabile.
Segnali difensivi da monitorare
Microsoft Entra ID fornisce la superficie di policy di cui i difensori hanno bisogno. Il device code flow può essere bloccato in modo ampio, oppure limitato a eccezioni definite in modo ristretto dove sia davvero necessario. I log di accesso sono importanti qui, perché possono rivelare un'attività insolita legata al device code che non sembrerebbe sospetta in una revisione di phishing basata solo sulle password.
Conditional Access è il livello di controllo chiave. Se un'organizzazione ha ancora bisogno del device code flow per un piccolo numero di casi legittimi, le eccezioni devono essere deliberate e testate. In caso contrario, la posizione più sicura è bloccarlo e imporre un'autenticazione resistente al phishing per utenti e azioni sensibili. La revoca dei token e la revisione delle sessioni contano quanto i cambi di password, perché la minaccia è spesso la sessione stessa.
Al momento della stesura, le informazioni pubbliche non stabiliscono pienamente la portata completa degli utenti interessati né se ogni sessione segnalata abbia effettivamente portato a una compromissione persistente. Questa incertezza è esattamente il motivo per cui i difensori dovrebbero concentrarsi su rilevamento, igiene dei token e applicazione delle policy, invece di presumere che l'MFA tradizionale abbia già fatto abbastanza.
Conclusione
La lezione più ampia è che il phishing moderno prende sempre più di mira l'autorizzazione, non solo l'autenticazione. Quando gli aggressori possono trasformare un vero flusso di accesso in un furto di token, la migliore difesa è controllare il flusso stesso, monitorare schemi di accesso anomali e trattare i bearer token come asset di alto valore. Nella sicurezza cloud, la comodità non è mai neutrale - ogni scorciatoia ha un percorso di attacco.
TECHCROOK
hardware security key: Una chiave di sicurezza fisica è un'opzione pratica per accessi resistenti al phishing sugli account supportati. Può ridurre la dipendenza da password, codici e prompt di approvazione nell'uso quotidiano.
WIKICROOK
- OAuth: Un framework di autorizzazione che consente alle app di ottenere accesso limitato all'account di un utente senza condividere la password.
- Device Code Flow: Un metodo OAuth per dispositivi con input limitato, in cui un utente approva l'accesso su un dispositivo separato.
- Conditional Access: Un sistema di policy che controlla quando e come gli utenti possono effettuare l'accesso in base a rischio, dispositivo e metodo di autenticazione.
- Bearer Token: Una credenziale che concede accesso a chiunque la possieda, il che rende il furto di token particolarmente pericoloso.
- Phishing-as-a-Service (PhaaS): Un modello di servizio criminale che confeziona l'infrastruttura di phishing per essere usata da altri operatori.




