Hack Alerta

Campanhas usam OAuth device code para sequestrar contas Microsoft 365

Por Redação Hack Alerta Publicado em 22/12/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Campanhas de phishing têm abusado do fluxo OAuth device code para obter tokens válidos e controlar contas Microsoft 365. Ferramentas como SquarePhish2 e Graphish automatizam o processo; grupos como TA2723 e UNK_AcademicFlare foram associados às operações. Recomendações incluem restringir device code via Conditional Access, exigir dispositivos registrados e treinar usuários para não inserir códigos vindos de páginas duvidosas.

Introdução

Grupos de ameaça estão explorando o fluxo legítimo de autorização por device code do OAuth 2.0 para obter tokens e comprometer contas Microsoft 365. A técnica torna o processo de autenticação — que utiliza microsoft.com/devicelogin — parte do vetor de ataque.

Como a técnica funciona

Pesquisadores da Proofpoint documentaram um workflow em que vítimas recebem um e‑mail de phishing que leva a uma página controlada pelo atacante. A página gera ou exibe um código de dispositivo e instruções para que o usuário o insira no portal legítimo da Microsoft em microsoft.com/devicelogin. Ao inserir o código e completar a autenticação, o aplicativo malicioso passa a receber tokens via polling nos servidores de autorização da Microsoft.

Ferramentas e atores observados

  • Dois kits/ferramentas principais foram identificados: SquarePhish2 (que automatiza o fluxo, usa QR codes e servidores controlados por atacantes) e o kit Graphish (que cria páginas falsas por meio de Azure App Registrations e proxys reversos).
  • Grupos observados usando a técnica vão de criminosos financeiros a atores alinhados a estados; a Proofpoint citou especificamente o ator TA2723 e um conjunto associado a atividade suspeita identificado como UNK_AcademicFlare.

Impacto prático

Após a conclusão bem‑sucedida do fluxo, o atacante obtém um access token válido que confere controle sobre a conta M365 alvo. Isso permite exfiltração de e‑mail, movimento lateral e persistência em ambientes corporativos. As campanhas, segundo os relatórios, ganharam escala em 2025, com adoção crescente desde setembro daquele ano.

Detecção e mitigação

A Proofpoint e as comunicações técnicas recomendam medidas concretas de defesa:

  • Implementar políticas de Conditional Access que bloqueiem ou restrinjam fluxos de device code a usuários/aparelhos aprovados ou faixas de IP confiáveis.
  • Exigir que sign‑ins ocorram apenas de dispositivos registrados/compatíveis quando possível.
  • Adaptar o treinamento de usuários: alertar que códigos de dispositivo exibidos em páginas de terceiros não devem ser inseridos em microsoft.com/devicelogin sob instrução de links recebidos por e‑mail.

Limitações e riscos residuais

Como a técnica faz uso do portal legítimo de autenticação da Microsoft, detecção baseada apenas em páginas externas pode falhar. Ferramentas como Graphish, que usam App Registrations válidas e proxys reversos, tornam a identificação por rejeição de certificados ou heurísticas simples menos eficaz. Portanto, controles de acesso condicionais e telemetria sobre registros de authenticações são fundamentais.

Fontes

Relatório da Proofpoint detalhando ferramentas (SquarePhish2, Graphish), atores (TA2723, UNK_AcademicFlare) e recomendações de mitigação.

Baseado em publicação original de Cyber Security News
Tags: #microsoft365 #oauth #device-code #phishing #squarephish2 #graphish #ta2723 #tokens #segurança
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar