Tấn công mạng OAuth Device Code: Nguy hiểm chiếm quyền M365

Các tác nhân đe dọa đang nhắm mục tiêu vào tài khoản Microsoft 365 bằng một phương pháp tấn công ngày càng phổ biến, được gọi là OAuth device code phishing. Kỹ thuật này lạm dụng quy trình ủy quyền thiết bị OAuth 2.0, một tính năng hợp pháp của Microsoft được thiết kế cho các thiết bị có khả năng nhập liệu hạn chế.

Kẻ tấn công lừa người dùng nhập mã trên các trang đăng nhập Microsoft chính chủ, từ đó cấp cho chúng quyền truy cập trái phép vào các tài khoản M365. Khi đã xâm nhập thành công, tin tặc có thể chiếm quyền kiểm soát tài khoản, đánh cắp dữ liệu nhạy cảm và di chuyển ngang trong mạng. Đây là một tấn công mạng tinh vi, gây ra rủi ro nghiêm trọng cho các tổ chức.

Nội dung

Hiểu về Tấn công OAuth Device Code Phishing

Cách thức Lợi dụng Quy trình OAuth 2.0

Các Công cụ Tấn công Phổ biến

SquarePhish2

Graphish Phishing Kit

Chi tiết Chuỗi Tấn công và Xâm nhập

Các Nhóm Tấn công Liên quan

Biện pháp Phòng vệ và Giảm thiểu Rủi ro

Hiểu về Tấn công OAuth Device Code Phishing

Quy trình ủy quyền thiết bị OAuth 2.0 cho phép người dùng đăng nhập vào các ứng dụng trên thiết bị không có trình duyệt hoặc thiết bị có giới hạn về nhập liệu. Quy trình này thường bao gồm các bước sau:

Ứng dụng hiển thị một mã duy nhất (device code) và URL xác minh.
Người dùng truy cập URL xác minh trên một thiết bị khác (ví dụ: máy tính hoặc điện thoại) và nhập mã đó.
Sau khi xác thực thành công, ứng dụng trên thiết bị gốc sẽ nhận được mã truy cập (access token).

Cách thức Lợi dụng Quy trình OAuth 2.0

Trong các chiến dịch tấn công mạng này, kẻ tấn công bắt đầu bằng việc gửi các tin nhắn lừa đảo (phishing messages) có chứa URL được nhúng trong nút, siêu liên kết hoặc mã QR. Khi nạn nhân nhấp vào các liên kết này, họ sẽ bị chuyển hướng đến các trang giả mạo hiển thị mã thiết bị.

Các mã này được ngụy trang thành mật khẩu một lần (OTP) hoặc mã thông báo bảo mật. Kẻ tấn công thúc đẩy người dùng nhập chúng vào trang xác minh hợp pháp của Microsoft tại microsoft.com/devicelogin. Điều này làm cho quá trình trông rất đáng tin cậy.

Các chiến dịch này đã trở nên phổ biến rộng rãi vào tháng 9 năm 2025, đánh dấu sự gia tăng đáng kể so với các cuộc tấn công mục tiêu trước đó. Việc này cho thấy sự thích nghi nhanh chóng của các tác nhân đe dọa với các biện pháp bảo mật hiện đại.

Các Công cụ Tấn công Phổ biến

Các nhà nghiên cứu đã xác định hai công cụ chính thúc đẩy các chiến dịch OAuth device code phishing này.

SquarePhish2

SquarePhish2 là phiên bản cập nhật của một framework phishing cũ hơn. Công cụ này tự động hóa quy trình ủy quyền thiết bị OAuth bằng cách sử dụng mã QR và các máy chủ do kẻ tấn công kiểm soát. Proofpoint đã phân tích chi tiết cơ chế hoạt động của công cụ này.

Quy trình tấn công của SquarePhish2 bao gồm:

Gửi cho nạn nhân một email xác thực giả mạo.
Tiếp theo là một tin nhắn thứ hai chứa mã thiết bị.

Việc cài đặt dễ dàng của SquarePhish2 cho phép ngay cả những kẻ tấn công ít kỹ năng hơn cũng có thể thực hiện các hoạt động quy mô lớn. Điều này làm tăng rủi ro bảo mật cho người dùng Microsoft 365.

Graphish Phishing Kit

Bộ công cụ phishing Graphish hoạt động theo một cách khác. Nó tạo ra các trang đăng nhập giả mạo thông qua Azure App Registrations và các máy chủ proxy ngược. Phương pháp này cho phép thực hiện các cuộc tấn công xen giữa (Adversary-in-the-Middle – AiTM).

Các cuộc tấn công này có khả năng:

Thu thập cả thông tin đăng nhập và mã thông báo phiên (session tokens).
Xảy ra khi người dùng hoàn thành các thử thách xác thực đa yếu tố (MFA).

Chi tiết Chuỗi Tấn công và Xâm nhập

Cuộc tấn công bắt đầu khi người dùng nhận được email lừa đảo. Các email này thường giả mạo thông báo chia sẻ tài liệu hoặc cảnh báo bảo mật tài khoản. Chúng được gửi từ các địa chỉ email bị xâm nhập hoặc tên miền do kẻ tấn công kiểm soát, được thiết kế để trông hợp pháp.

Nhấp vào liên kết nhúng sẽ chuyển hướng nạn nhân đến một trang lừa đảo mô phỏng các dịch vụ của Microsoft. Trang này yêu cầu người dùng nhập địa chỉ email của họ, điều này kích hoạt quy trình ủy quyền thiết bị OAuth trên cơ sở hạ tầng của Microsoft.

Một mã thiết bị duy nhất sau đó được tạo và hiển thị trên trang giả mạo. Người dùng nhận được hướng dẫn truy cập microsoft.com/devicelogin và nhập mã này. Vì đây là cổng xác thực thật của Microsoft, người dùng thường tin tưởng vào quy trình. Một khi họ nhập mã và xác thực, ứng dụng của kẻ tấn công sẽ thăm dò các máy chủ của Microsoft và nhận được một mã truy cập (access token).

Mã thông báo này cung cấp cho tác nhân đe dọa toàn quyền kiểm soát tài khoản M365 của nạn nhân. Toàn bộ quy trình lợi dụng các dịch vụ hợp pháp của Microsoft, khiến việc phát hiện trở nên cực kỳ khó khăn thông qua các biện pháp bảo mật truyền thống. Đây là một ví dụ điển hình về việc kẻ tấn công lợi dụng sự tin cậy vào hạ tầng chính hãng để thực hiện chiếm quyền điều khiển.

Các Nhóm Tấn công Liên quan

Nhiều nhóm tác nhân đe dọa đứng sau các cuộc tấn công này, từ các tội phạm có động cơ tài chính đến các nhóm tấn công tinh vi. Các nhà phân tích đã ghi nhận tác nhân đe dọa TA2723, một nhóm có động cơ tài chính nổi tiếng với các chiến dịch lừa đảo thông tin đăng nhập quy mô lớn, đã bắt đầu sử dụng các cuộc tấn công OAuth device code vào tháng 10 năm 2025.

Nhóm này đã gửi email giả mạo chứa các tài liệu liên quan đến tiền lương với URL dẫn đến các trang ủy quyền mã thiết bị. Các nhóm tấn công tinh vi khác cũng đã áp dụng kỹ thuật này, thực hiện các chiến dịch kỹ thuật xã hội phức tạp. Họ sử dụng các địa chỉ email bị xâm nhập để tạo dựng lòng tin trước khi gửi các URL Cloudflare Worker giả mạo tài khoản OneDrive.

Các URL này chuyển hướng nạn nhân đến các quy trình phishing device code được thiết kế để đánh cắp thông tin đăng nhập từ các mục tiêu nhạy cảm. Sự đa dạng của các nhóm tấn công cho thấy rủi ro bảo mật ngày càng gia tăng đối với các tổ chức sử dụng Microsoft 365.

Biện pháp Phòng vệ và Giảm thiểu Rủi ro

Các tổ chức có thể phòng thủ chống lại các cuộc tấn công mạng này bằng cách tạo các chính sách Conditional Access để chặn hoàn toàn luồng xác thực mã thiết bị hoặc giới hạn chúng cho những người dùng và dải IP được phê duyệt.

Yêu cầu đăng nhập từ các thiết bị tuân thủ hoặc đã đăng ký cũng ngăn chặn quyền truy cập trái phép. Một số cấu hình mẫu cho chính sách Conditional Access có thể bao gồm:

# Ví dụ: Chặn Device Code Flow cho tất cả người dùng trừ một nhóm được phépNew-ConditionalAccessPolicy -DisplayName "Block Device Code Flow" \ -Conditions @{ Users = @{ AllUsers = $true; ExcludeUsers = @("GroupIdForAllowedUsers") } Applications = @{ AllApplications = $true } ClientApplications = @{ ApplicationType = "Other" } # Targeting device code flow } -GrantControls @{ Controls = "Block" }

Việc đào tạo người dùng cần chuyển từ nhận thức về phishing truyền thống sang nhấn mạnh sự nguy hiểm của việc nhập mã thiết bị từ các nguồn không đáng tin cậy. Người dùng cần được hướng dẫn kiểm tra kỹ URL và không nhập mã thiết bị trừ khi họ tự khởi tạo quy trình và tin tưởng hoàn toàn vào nguồn yêu cầu.

Việc lạm dụng các cơ chế xác thực hợp pháp cho thấy cách các tác nhân đe dọa tiếp tục điều chỉnh chiến thuật của họ để vượt qua các biện pháp kiểm soát bảo mật hiện đại. Việc nâng cao an ninh mạng thông qua kết hợp giữa chính sách kỹ thuật và nhận thức người dùng là vô cùng quan trọng.