2026年2月19日，Huntress安全團隊監(jiān)控面板上突然炸開一片紅點——一種他們追蹤過多次的攻擊手法，正以3倍于往年的速度蔓延。5天內(nèi)，美國、加拿大、澳大利亞、新西蘭、德國五國超過340家組織的Microsoft 365賬號被卷入同一張網(wǎng)。

這場戰(zhàn)役的特殊之處不在于規(guī)模，而在于攻擊者把微軟自己的"后門"變成了前門鑰匙。他們利用的是OAuth設(shè)備授權(quán)流程（OAuth Device Authorization Flow），一種本為方便智能電視、打印機登錄而設(shè)計的協(xié)議。用戶以為自己在正常登錄，實則把賬號的永久訪問權(quán)拱手讓人。

攻擊鏈：從一封郵件到Railway.com的收割流水線

釣魚郵件的開場白五花八門：建筑招標通知、DocuSign待簽文件、語音留言提醒、微軟表單問卷。Huntress發(fā)現(xiàn)，這些誘餌共享同一個歸宿——Cloudflare Workers跳轉(zhuǎn)層，最終落地在Railway.com的三臺服務(wù)器上。

這三臺IP地址包攬了84%的攻擊流量。 Railway是一家PaaS（平臺即服務(wù)）廠商，攻擊者租用它來托管釣魚頁面，成本極低且部署飛快。

郵件里的鏈接經(jīng)過精心偽裝，嵌在Cisco、Trend Micro、Mimecast等安全廠商的合法重定向服務(wù)后面。用戶看到的域名是熟悉的，點擊后卻一步步滑向陷阱。

設(shè)備授權(quán)流程的漏洞在于：攻擊者先用cURL向微軟設(shè)備代碼登錄API發(fā)起請求，拿到一個8字符的用戶碼和一個設(shè)備碼。然后誘導(dǎo)受害者在微軟官方頁面輸入這個用戶碼——頁面是真的，域名是login.microsoftonline.com，SSL證書也沒問題。

用戶完成身份驗證后，令牌生成在微軟的OAuth令牌API端點。攻擊者憑當(dāng)初那串設(shè)備碼，就能取走這些令牌。整個過程，微軟的基礎(chǔ)設(shè)施全程背書。

Huntress的分析師形容："用戶碼就像一把公共儲物柜的鑰匙。你把它交給別人，對方去正規(guī)柜臺存了東西，但取貨憑據(jù)卻留在攻擊者手里。"

為什么改密碼沒用：令牌的"免死金牌"

傳統(tǒng)釣魚偷的是密碼，設(shè)備代碼釣魚偷的是令牌。這是兩種完全不同的資產(chǎn)。

OAuth令牌一旦簽發(fā)，就與用戶密碼解耦。微軟的文檔明確寫道：設(shè)備授權(quán)流程"不依賴用戶輸入的憑據(jù)"。這意味著即便受害者第二天發(fā)現(xiàn)異常、緊急重置密碼，攻擊者手里的令牌依然有效，直到顯式吊銷或自然過期。

更棘手的是，這些令牌通常附帶離線訪問權(quán)限（offline_access scope）。攻擊者可以靜默刷新，長期潛伏，甚至繞過多因素認證（MFA）——因為MFA已經(jīng)在最初的設(shè)備授權(quán)步驟中完成過了。

2025年2月，微軟與Volexity首次公開披露這種技術(shù)。隨后Amazon Threat Intelligence、Proofpoint相繼跟進。被歸因的攻擊者名單越來越長：Storm-2372、APT29、UTA0304、UTA0307、UNK_AcademicFlare，清一色與俄羅斯情報體系有關(guān)聯(lián)。

一年過去，技術(shù)門檻被徹底拉平。Huntress看到的這次Campaign，不再局限于國家級APT，而是呈現(xiàn)出工具化、規(guī)?；奶卣鳌＝ㄖ?、非營利組織、房地產(chǎn)、制造、金融、醫(yī)療、法律、政府——行業(yè)分布之廣，說明攻擊者在使用自動化工具批量撒網(wǎng)。

防御困局：當(dāng)"正常"成為最好的偽裝

安全團隊面臨的核心難題是：這場攻擊的流量特征幾乎與正常業(yè)務(wù)無異。

用戶訪問的是微軟官方域名。認證流程符合RFC 8628標準。重定向經(jīng)過Cloudflare，IP歸屬Railway——兩者都是合法云服務(wù)。傳統(tǒng)的URL黑名單、域名信譽評分、沙箱檢測，在這一層全部失效。

Huntress建議的檢測方向轉(zhuǎn)向行為異常：監(jiān)控設(shè)備代碼登錄API的調(diào)用模式，識別短時間內(nèi)大量生成用戶碼的源IP；審計OAuth授權(quán)記錄，標記來自Railway等PaaS平臺的令牌獲取請求；強制實施條件訪問策略，限制高風(fēng)險會話的權(quán)限范圍。

但這些措施對中小組織而言配置成本不低。更現(xiàn)實的困境是：設(shè)備授權(quán)流程本身是一項生產(chǎn)需求，很多企業(yè)確實在用。一刀切禁用，會打斷自動化腳本、IoT設(shè)備、遠程辦公場景的正常工作流。

微軟并非沒有動作。2025年披露后，他們逐步收緊了設(shè)備代碼流程的默認策略，要求管理員顯式啟用，并支持更細粒度的令牌生命周期管理。但攻擊者顯然找到了繞過或利用遺留配置的縫隙。

340家組織的數(shù)據(jù)背后，還有未被統(tǒng)計的沉默多數(shù)。Huntress的監(jiān)控范圍有限，實際受害面可能更廣。德國某制造業(yè)企業(yè)的IT負責(zé)人向Huntress反饋，他們在攻擊發(fā)生72小時后才從異常郵箱規(guī)則中察覺到入侵——彼時攻擊者已讀取了三個月的郵件存檔。