Device code phishing drabbar 340 M365-organisationer — blockera flödet nu
Ryska hotaktörer utnyttjar Microsofts device code-flöde för att kapa M365-konton. Conditional Access kan stoppa det.
Sedan februari 2026 har över 340 Microsoft 365-organisationer i fem länder drabbats av en koordinerad phishing-kampanj som kringgår MFA. Bakom attacken står flera Rysslandsanknutna grupper: Storm-2372, APT29, UTA0304 och UTA0307.
Metoden kallas device code phishing. Angriparen lurar offret att mata in en kod på Microsofts riktiga inloggningssida — microsoft.com/devicelogin. Offret tror att de autentiserar sig för en legitim tjänst. I verkligheten ger de angriparen fullständig åtkomst via OAuth-tokens som överlever långt efter att sessionen stängts.
Så fungerar attacken
Offret får ett mail med en länk som ser ut att komma från Cisco, Trend Micro eller Mimecast — kända säkerhetsleverantörer. Länken leder via Cloudflare Workers till en sida som ber om device code-autentisering. Offret matar in koden på Microsofts sida, godkänner MFA, och angriparen får tokens.
Det som gör attacken effektiv: allt sker på Microsofts riktiga sida. Inga falska inloggningssidor. Inga certifikatvarningar. MFA skyddar inte eftersom användaren aktivt godkänner autentiseringen.
Vad ni ska göra
- Blockera device code-flödet i Conditional Access. De flesta organisationer behöver det inte. Skapa en CA-policy som blockerar
deviceCodeFlowför alla användare utom de som specifikt behöver det - Aktivera Continuous Access Evaluation (CAE) så att komprometterade tokens kan återkallas i realtid
- Granska sign-in-loggar i Entra ID — filtrera på autentiseringsmetod
deviceCode - Utbilda användarna — lär dem att aldrig mata in koder de inte själva begärt
Vi hjälper er
Vi erbjuder en Conditional Access-granskning (halvdag) där vi blockerar device code-flödet, aktiverar CAE och granskar sign-in-loggar för tecken på kompromiss. Boka en genomgång.
Källor: The Hacker News, Cloud Security Alliance