Хакеры научились входить в корпоративные аккаунты Microsoft без логина и пароля

Новая фишинговая кампания, злоупотребляющая механизмом авторизации Microsoft Device Authorization Grant (Device Code Flow), позволяет злоумышленникам получать доступ к корпоративным учетным записям без кражи логинов и паролей. Об этом «Газете.Ru» сообщили в «Лаборатории Касперского».

Хакеры получили доступ к корпоративным аккаунтам Microsoft без логина и пароля
© Global Look Press

По данным компании, атака наблюдалась с начала апреля по середину мая 2026 года и была замаскирована под уведомления от юридической фирмы. Пользователи получали электронные письма с защищенным паролем PDF-файлом. После его открытия жертве предлагалось перейти по ссылке для просмотра документов. Несмотря на то что ссылка вела на легитимный адрес Microsoft, через механизм переадресации пользователь попадал на фишинговый сайт, имитирующий портал для просмотра юридических документов.

После прохождения нескольких CAPTCHA пользователю предлагалось скопировать заранее сгенерированный злоумышленниками одноразовый код, а затем ввести его на официальной странице Microsoft, завершив процесс многофакторной аутентификации. Таким образом жертва самостоятельно подтверждала доступ злоумышленников к своей учетной записи.

Получив токены текущей сессии, атакующие могли читать электронную почту, отправлять письма от имени пользователя, получать доступ к файлам в Microsoft OneDrive и просматривать переписку в Microsoft Teams.

«Злоумышленники не всегда используют вредоносное ПО или крадут логины и пароли для получения доступа к конфиденциальной информации – все чаще они злоупотребляют легитимными инструментами и механизмами авторизации. Поэтому пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами», – отметил эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок.