Ny phishing-attack kringgår MFA via device code — blocka nu

Över 340 organisationer i fem länder har fått sina M365-konton komprometterade genom en phishing-kampanj som de flesta MFA-lösningar inte stoppar. Huntress avslöjade den 23 mars att attacken utnyttjar OAuths device code-flöde — och att den accelererar.

Angreppet fungerar så här: offret får en länk som ber dem gå till Microsofts legitima inloggningssida och mata in en kod. Det ser helt normalt ut. Men koden ger angriparen en beständig åtkomsttoken till offrets M365-konto. Tokenet överlever lösenordsbyten.

Kampanjen har kopplats till en ny PhaaS-plattform (Phishing-as-a-Service) kallad EvilTokens, som säljs via Telegram. Infrastrukturen körs på Railway.com, en PaaS-plattform som gör det trivialt att starta och riva ned attack-servrar.

Varför det fungerar

Device code-flödet är en legitim OAuth-funktion designad för enheter utan webbläsare (smart-TV, IoT). Problemet är att de flesta organisationer inte blockerar det i Conditional Access. Användaren autentiserar sig på Microsofts riktiga sida — alla MFA-steg genomförs normalt — men tokenet hamnar hos angriparen.

Vad du ska göra nu

1. Blockera device code-flödet i Conditional Access. Skapa en policy som nekar authentication flow = device code för alla användare som inte explicit behöver det.
2. Aktivera Continuous Access Evaluation (CAE) i alla klientorganisationer. CAE möjliggör tokenåterkallelse i nära realtid.
3. Granska inloggningsloggar för authentication_protocol=deviceCode från okända enheter.
4. Överväg tokenskydd med token binding i Conditional Access.

Det här är inte en teoretisk attack. Den pågår just nu och antalet offer växer varje dag. Advokatbyråer, byggföretag, sjukvård och myndigheter är bland de drabbade.

Vi erbjuder en Conditional Access-genomgång som inkluderar device code-blockering, CAE-aktivering och tokenskydd. Hör av dig så kollar vi er miljö.