Phishers Abusam do Mecanismo Device Code Flow para Capturar Contas Microsoft
Especialistas em cibersegurança alertam sobre uma nova campanha de phishing que explora o fluxo de autorização de dispositivos da Microsoft para obter acesso indevido a contas de usuários. A tática envolve enganar as vítimas para que elas mesmas concedam permissões aos atacantes.
MundiX News·09 de julho de 2026·5 min de leitura·👁 1 views
Especialistas da Kaspersky Lab descobriram uma campanha de phishing em que os participantes abusam do mecanismo Microsoft Device Authorization Grant, também conhecido como Device Code Flow. As vítimas são induzidas a realizar a autorização em um site oficial da Microsoft, concedendo aos atacantes acesso às suas contas.
De acordo com os pesquisadores, a campanha esteve ativa de início de abril até meados de maio de 2026. Os usuários recebiam e-mails supostamente de um escritório de advocacia com um arquivo PDF protegido por senha. Dentro do arquivo, havia uma lista de documentos e um link para visualizá-los. À primeira vista, o link levava a um recurso legítimo da Microsoft. No entanto, seus parâmetros garantiam um redirecionamento para um site de phishing que imitava um portal de documentos jurídicos. Após a resolução de alguns CAPTCHAs, provavelmente destinados a proteger contra crawlers e analisadores automáticos, os usuários eram instruídos a copiar um código de uso único.
Este código era gerado previamente pelos criminosos, que iniciavam o processo de autorização do Device Code Flow em seu lado. Em seguida, a vítima era redirecionada para a página real da Microsoft, onde inseria o código, fazia login em sua conta e passava pela autenticação multifator. Como resultado, o usuário concedia acesso ao aplicativo dos atacantes por conta própria. A base dessa tática é a especificação OAuth 2.0 Device Authorization Grant. Este mecanismo é projetado para TVs, impressoras, dispositivos IoT e outros equipamentos que não possuem um teclado ou navegador completo. Esses dispositivos exibem um curto user_code, que o usuário insere em um smartphone ou computador. Após a confirmação, o cliente recebe o access_token, refresh_token e id_token.
Normalmente, o cliente envia uma solicitação para https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode e recebe dois valores-chave: o device_code para troca interna com o servidor e o curto user_code que o usuário verá e deverá inserir. A resposta também contém os valores expires_in (tempo de vida do código) e interval (com que frequência consultar o servidor). Enquanto o usuário realiza a autorização em outro dispositivo, o cliente consulta regularmente https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token e aguarda a confirmação. Os phishers substituem o próprio cliente nesta cadeia. Eles solicitam antecipadamente um código para seu próprio aplicativo, transmitem o user_code para a vítima e a enviam para o site oficial da Microsoft. Após o login e a autenticação de dois fatores, o servidor emite os tokens não para o navegador do usuário, mas para os atacantes. Como resultado, o access_token abre acesso aos dados, e o refresh_token permite obter novos tokens sem autenticação repetida e manter o acesso após o término da sessão atual.
Nesta ataque, a infraestrutura dos phishers atuou como o dispositivo cliente. Os tokens obtidos pelos criminosos permitem ler o e-mail da vítima e enviar e-mails em seu nome, visualizar arquivos no OneDrive e mensagens no Microsoft Teams. Os pesquisadores enfatizam que, para tal comprometimento, não são necessários malware ou roubo de senha. Além disso, a fase final do ataque ocorre em uma página oficial da Microsoft, portanto, apenas a verificação do domínio seria insuficiente. Embora o e-mail descrito na pesquisa não tenha sido muito massivo e tenha se espalhado por pouco mais de um mês, os criminosos continuam a aplicar este método. Em particular, os especialistas registraram ataques semelhantes a usuários do Brasil. Nesta campanha, o arquivo PDF estava ausente, e o link para o serviço legítimo Cacoo redirecionava a vítima para uma página com um código de uso único.
Os especialistas recomendam que os usuários não confirmem solicitações do Device Code Flow se não tiverem iniciado o login em outro dispositivo e não insiram códigos de e-mails e mensagens suspeitas. Também é aconselhável verificar não apenas o domínio principal, mas também os parâmetros de redirecionamento no URL e, após a transição, o endereço final da página. Para as organizações, recomenda-se avaliar se o Device Code Flow é necessário na infraestrutura corporativa. "É preciso ter cautela não apenas ao visitar sites suspeitos, mas também ao trabalhar com plataformas oficiais. As organizações devem analisar se o Device Code Flow é realmente necessário em sua infraestrutura corporativa e, se esse cenário não for utilizado nos processos de negócios, desativá-lo", afirma Roman Dedenok, especialista da Kaspersky Lab. Isso pode ser feito através das políticas de Acesso Condicional no Microsoft Entra ID. Os especialistas também aconselham monitorar eventos de DeviceCodeSignIn, o status de conformidade dos dispositivos com os requisitos de segurança e tentativas de login de locais incomuns.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Kaspersky Lab descobriram uma campanha de phishing em que os participantes abusam do mecanismo Microsoft Device Authorization Grant, também conhecido como Device Code Flow. As vítimas são induzidas a realizar a autorização em um site oficial da Microsoft, concedendo aos atacantes acesso às suas contas.
De acordo com os pesquisadores, a campanha esteve ativa de início de abril até meados de maio de 2026. Os usuários recebiam e-mails supostamente de um escritório de advocacia com um arquivo PDF protegido por senha. Dentro do arquivo, havia uma lista de documentos e um link para visualizá-los. À primeira vista, o link levava a um recurso legítimo da Microsoft. No entanto, seus parâmetros garantiam um redirecionamento para um site de phishing que imitava um portal de documentos jurídicos. Após a resolução de alguns CAPTCHAs, provavelmente destinados a proteger contra crawlers e analisadores automáticos, os usuários eram instruídos a copiar um código de uso único.
Este código era gerado previamente pelos criminosos, que iniciavam o processo de autorização do Device Code Flow em seu lado. Em seguida, a vítima era redirecionada para a página real da Microsoft, onde inseria o código, fazia login em sua conta e passava pela autenticação multifator. Como resultado, o usuário concedia acesso ao aplicativo dos atacantes por conta própria. A base dessa tática é a especificação OAuth 2.0 Device Authorization Grant. Este mecanismo é projetado para TVs, impressoras, dispositivos IoT e outros equipamentos que não possuem um teclado ou navegador completo. Esses dispositivos exibem um curto user_code, que o usuário insere em um smartphone ou computador. Após a confirmação, o cliente recebe o access_token, refresh_token e id_token.
Normalmente, o cliente envia uma solicitação para https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode e recebe dois valores-chave: o device_code para troca interna com o servidor e o curto user_code que o usuário verá e deverá inserir. A resposta também contém os valores expires_in (tempo de vida do código) e interval (com que frequência consultar o servidor). Enquanto o usuário realiza a autorização em outro dispositivo, o cliente consulta regularmente https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token e aguarda a confirmação. Os phishers substituem o próprio cliente nesta cadeia. Eles solicitam antecipadamente um código para seu próprio aplicativo, transmitem o user_code para a vítima e a enviam para o site oficial da Microsoft. Após o login e a autenticação de dois fatores, o servidor emite os tokens não para o navegador do usuário, mas para os atacantes. Como resultado, o access_token abre acesso aos dados, e o refresh_token permite obter novos tokens sem autenticação repetida e manter o acesso após o término da sessão atual.
Nesta ataque, a infraestrutura dos phishers atuou como o dispositivo cliente. Os tokens obtidos pelos criminosos permitem ler o e-mail da vítima e enviar e-mails em seu nome, visualizar arquivos no OneDrive e mensagens no Microsoft Teams. Os pesquisadores enfatizam que, para tal comprometimento, não são necessários malware ou roubo de senha. Além disso, a fase final do ataque ocorre em uma página oficial da Microsoft, portanto, apenas a verificação do domínio seria insuficiente. Embora o e-mail descrito na pesquisa não tenha sido muito massivo e tenha se espalhado por pouco mais de um mês, os criminosos continuam a aplicar este método. Em particular, os especialistas registraram ataques semelhantes a usuários do Brasil. Nesta campanha, o arquivo PDF estava ausente, e o link para o serviço legítimo Cacoo redirecionava a vítima para uma página com um código de uso único.
Os especialistas recomendam que os usuários não confirmem solicitações do Device Code Flow se não tiverem iniciado o login em outro dispositivo e não insiram códigos de e-mails e mensagens suspeitas. Também é aconselhável verificar não apenas o domínio principal, mas também os parâmetros de redirecionamento no URL e, após a transição, o endereço final da página. Para as organizações, recomenda-se avaliar se o Device Code Flow é necessário na infraestrutura corporativa. "É preciso ter cautela não apenas ao visitar sites suspeitos, mas também ao trabalhar com plataformas oficiais. As organizações devem analisar se o Device Code Flow é realmente necessário em sua infraestrutura corporativa e, se esse cenário não for utilizado nos processos de negócios, desativá-lo", afirma Roman Dedenok, especialista da Kaspersky Lab. Isso pode ser feito através das políticas de Acesso Condicional no Microsoft Entra ID. Os especialistas também aconselham monitorar eventos de DeviceCodeSignIn, o status de conformidade dos dispositivos com os requisitos de segurança e tentativas de login de locais incomuns.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.