モバイルデバイスへの攻撃は、ワンタイムパスワードに偽装されたMicrosoftのデバイス認証フローを悪用します。
この攻撃は、ユーザーを騙して検証URLに任意のデバイスコードを入力させることで、OAuth認証を用いてデバイスの認証を試みます。
ユーザーがデバイスコードを入力すると、元のトークンが検証され、攻撃者が標的のアカウントにアクセスできるようになります。
「攻撃者はためらうことなく攻撃を実行できる」と、このグループの記事は述べています。
ハッカーがMicrosoft OAuthデバイスコードを悪用して企業アカウントを乗っ取る from csoonline.com
security summaryモバイルデバイスへの攻撃は、ワンタイムパスワードに偽装されたMicrosoftのデバイス認証フローを悪用します。
この攻撃は、ユーザーを騙して検証URLに任意のデバイスコードを入力させることで、OAuth認証を用いてデバイスの認証を試みます。
ユーザーがデバイスコードを入力すると、元のトークンが検証され、攻撃者が標的のアカウントにアクセスできるようになります。
「攻撃者はためらうことなく攻撃を実行できる」と、このグループの記事は述べています。
コメント