Эксперт «Группы Астра» объяснил риск атак через Microsoft Device Code Flow

Эксперт «Группы Астра» объяснил риск атак через Microsoft Device Code Flow

Эксперт «Группы Астра» Анатолий Лысов, менеджер продукта ALD Pro, прокомментировал фишинговую схему, использующую механизм Microsoft Device Code Flow. Такая атака позволяет получить доступ к корпоративным учетным записям без прямой кражи пароля.

Схема строится вокруг легитимного механизма OAuth2, который обычно применяется для входа с устройств с ограниченным вводом, например с игровых приставок или Smart TV. Пользователь видит доверенную страницу Microsoft и вводит одноразовый код, заранее созданный злоумышленниками. После этого атакующие получают сессионные токены.

При успешной атаке злоумышленники могут читать почту, отправлять сообщения от имени жертвы и получать доступ к файлам и переписке в корпоративных сервисах. По данным, приведенным в письме, кампания наблюдалась с начала апреля до середины мая 2026 года и была замаскирована под уведомления юридической фирмы.

Анатолий Лысов отмечает, что защита учетных записей требует комплексного подхода. В него входят служба каталога, многофакторная аутентификация, PAM, ITDR и регулярное обучение сотрудников цифровой гигиене.

Главный риск подобных атак в том, что пользователь взаимодействует не с очевидно поддельной страницей, а с привычным доверенным сервисом. Поэтому контроль доступа и проверка необычных сценариев авторизации становятся отдельной частью корпоративной безопасности.

Читайте также