We Need to Talk About Device Code Phishing

Device code phishing abuses Microsoft's OAuth 2.0 device authorization grant flow, allowing attackers to generate device codes and trick users into authorizing them on legitimate Microsoft login pages. This bypasses MFA by stealing valid OAuth tokens directly. The attack has surged recently, with campaigns like Storm-2372 targeting governments and NGOs, and phishing-as-a-service platforms like EvilTokens and Kali365 now offering it as a commodity service. Key mitigations include enabling Microsoft Entra Conditional Access policies to block device code flow, monitoring new device registrations in Entra, watching for suspicious token exchanges in logs, and disabling device code flow where operationally feasible. Notably, around 25% of organizations that have paid for Conditional Access have not yet configured it, leaving a significant gap.

Nguồn: https://www.huntress.com/blog/tradecraft-tuesday-device-code-phishing-explained. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

BleepingComputer23 phút2 ngày trướcAI

LastPass confirms data breach in Klue supply chain attack

LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.

Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.