Tin tức bảo mật mới ghi nhận các chiến dịch device code phishing đang bị khai thác để đánh cắp thông tin xác thực tài khoản ở quy mô lớn. Kỹ thuật này lợi dụng OAuth device authorization flow của Microsoft, biến một tính năng xác thực hợp lệ thành một lỗ hổng CVE theo nghĩa khai thác hành vi tin cậy trong luồng đăng nhập.
Device code phishing và cơ chế khai thác
Device code phishing nhắm vào quy trình xác thực OAuth 2.0 dành cho thiết bị có hạn chế về nhập liệu, như smart TV hoặc máy chơi game. Khi nạn nhân truy cập trang đăng nhập hợp lệ của Microsoft và nhập mã do kẻ tấn công cung cấp, hệ thống mặc định coi đây là một yêu cầu xác thực bình thường.
Điểm nguy hiểm của lỗ hổng CVE theo mô hình này là nạn nhân không nhìn thấy cảnh báo đăng nhập đáng ngờ. Kẻ tấn công có thể chiếm quyền truy cập vào tài khoản Microsoft 365 mà không cần đánh cắp mật khẩu theo cách truyền thống.
Để đối chiếu cơ chế OAuth device flow, có thể xem tài liệu chuẩn tại Microsoft Learn.
Chuỗi tấn công
Thông thường, mã thiết bị được gửi qua email, tệp PDF đính kèm, URL hoặc mã QR dẫn nạn nhân đến trang đăng nhập chính thức của Microsoft. Sau khi mục tiêu nhập mã trong khoảng thời gian hiệu lực 15 phút, kẻ tấn công sẽ nhận được authentication tokens.
Các token này cho phép truy cập bền vững vào tài khoản, kể cả khi nạn nhân sau đó thay đổi mật khẩu. Đây là lý do device code phishing đang trở thành một mối đe dọa đáng chú ý đối với môi trường Microsoft 365.
Các chiến dịch và mức độ lan rộng của lỗ hổng CVE
Nhà nghiên cứu từ Proofpoint đã ghi nhận hoạt động độc hại vào đầu năm 2025 và cho biết hàng trăm chiến dịch đã nhắm vào tổ chức thuộc nhiều ngành khác nhau. Kỹ thuật này tận dụng sự tin cậy vào dịch vụ Microsoft chính thức, khiến việc phát hiện tấn công bằng công cụ bảo mật truyền thống trở nên khó khăn.
Giai đoạn từ 2023 đến 2024, kẻ tấn công có xu hướng rời bỏ các trang thu thập thông tin xác thực truyền thống để chuyển sang device code phishing. Từ cuối năm 2024, các chiến dịch tăng mạnh, đánh dấu sự mở rộng của kỹ thuật chiếm quyền danh tính trong tin tức an ninh mạng gần đây.
Kỹ thuật này xuất hiện trong các bối cảnh như business email compromise, do thám doanh nghiệp và các chiến dịch nhắm vào tổ chức ở nhiều quy mô khác nhau.
Nhóm công cụ và biến thể được ghi nhận
Proofpoint ghi nhận nhiều tác nhân đe dọa đã tích hợp device code phishing vào quy trình tấn công tiêu chuẩn. Một số chiến dịch sử dụng PDF kèm chủ đề CAPTCHA để dụ người dùng thực hiện hành vi xác thực giả mạo.
Điều này cho thấy lỗ hổng CVE ở đây không phải là lỗi phần mềm theo nghĩa truyền thống, mà là lạm dụng luồng xác thực hợp lệ để đạt được quyền truy cập trái phép.
- TA4903: Phát tán mồi nhử device code phishing kèm PDF có chủ đề CAPTCHA.
- EvilProxy operators: Tích hợp device code phishing vào chuỗi vận hành.
- Storm-365: Sử dụng kỹ thuật này trong các chiến dịch xâm nhập tài khoản.
- Kali 365 toolkit: Được dùng để hỗ trợ triển khai device code phishing.
- Tycoon 2FA phishing kit: Bổ sung khả năng device code trong bộ công cụ.
Tác động đối với hệ thống và tài khoản
Thiệt hại chính của lỗ hổng CVE kiểu này là xâm nhập trái phép vào tài khoản Microsoft 365. Khi token đã được cấp, kẻ tấn công có thể duy trì phiên truy cập ngay cả khi mật khẩu được thay đổi sau đó.
Vì toàn bộ chuỗi hoạt động diễn ra trên các miền Microsoft hợp lệ, các công cụ phát hiện xâm nhập dựa vào URL độc hại hoặc domain bất thường có thể không nhận diện được mối đe dọa. Đây là lý do device code phishing thường vượt qua được nhiều lớp kiểm soát email và nhận thức người dùng truyền thống.
Trong bối cảnh này, lỗ hổng CVE cần được hiểu như một rủi ro an toàn thông tin liên quan đến xác thực danh tính, thay vì một lỗi thực thi mã hay lỗi bộ nhớ.
IOC và dấu hiệu cần lưu ý
Nội dung nguồn không cung cấp danh sách IOC cụ thể như địa chỉ IP, domain hay hash. Do đó, không thể trích xuất IOC chi tiết từ dữ liệu hiện có.
- Loại IOC: Không có IOC cụ thể được công bố trong nội dung nguồn.
- Lưu ý kỹ thuật: Các IP và domain được mô tả là đã được làm mờ để tránh phân giải tự động.
Biện pháp phòng thủ trước lỗ hổng CVE dạng device code phishing
Proofpoint khuyến nghị chặn device code flow khi có thể thông qua conditional access policies. Đây là biện pháp kiểm soát hiệu quả nhất để giảm nguy cơ xác thực từ thiết bị không được quản lý.
Yêu cầu compliant devices hoặc managed devices giúp ngăn các nỗ lực xác thực trái phép từ endpoint không kiểm soát. Cách này đặc biệt quan trọng với môi trường sử dụng Microsoft 365.
Đào tạo nhận thức người dùng cũng cần cập nhật riêng cho kỹ thuật device code phishing, vì các bài huấn luyện phishing truyền thống thường không bao phủ kiểu tấn công này. Nếu chỉ tập trung vào link giả hoặc trang đăng nhập giả mạo, tổ chức vẫn có thể bỏ sót lỗ hổng CVE theo hướng lạm dụng luồng OAuth hợp lệ.
Điểm kiểm soát cần ưu tiên
- Chặn hoặc giới hạn device code flow bằng policy.
- Áp dụng xác thực từ thiết bị tuân thủ hoặc thiết bị được quản lý.
- Giám sát đăng nhập bất thường trên Microsoft 365.
- Cập nhật nội dung đào tạo người dùng về device code phishing.
- Tăng cường phát hiện tấn công dựa trên hành vi thay vì chỉ dựa vào domain độc hại.
Keywords SEO chính: lỗ hổng CVE, device code phishing, phát hiện tấn công, an toàn thông tin, Microsoft 365.
