微软10天前刚预警的漏洞，黑客已经用它日攻数百家企业

3月15日到4月初，不到一个月，每天10到15轮攻击，每轮数百个组织中招。这不是电影剧本，是微软安全副总裁Tanmay Ganacharya给出的实时数据。

攻击者把OAuth 2.0的设备码认证流程，变成了一条全自动的钓鱼流水线。从侦察到渗透再到数据窃取，AI和自动化贯穿始终。你的打印机、智能电视、会议室大屏——这些你以为"人畜无害"的IoT设备，正在成为黑客绕过MFA（多因素认证）的特洛伊木马。

Ganacharya向The Register透露了一个细节：攻击者在真正动手前，会先用10到15天做"踩点"。他们调用微软的GetCredentialType接口，批量验证目标邮箱是否存在、是否活跃。这种侦察不是盲目撒网，而是精准定位财务岗位人员。

一旦锁定目标，钓鱼邮件随即发出。用户收到的可能是一条"需要验证身份"的提示，附带一个看似正常的设备码。输入、确认、授权——三步之内，攻击者就拿到了通往企业Microsoft 365的合法令牌。

设备码认证：便利性与安全性的经典 trade-off

OAuth 2.0的设备码认证设计初衷很朴素：让没有键盘和浏览器的设备也能登录。你在Apple TV上打开Netflix，屏幕上跳出一串字符，拿起手机输入，搞定。

微软在周一的博客中解释了漏洞的核心："由于认证是在另一台设备上完成的，发起请求的会话与用户的原始上下文没有强绑定。"

换句话说，攻击者可以在任何设备上发起认证请求，把设备码塞给受害者，而受害者完全不知道自己授权的是谁的会话。MFA？照常触发。用户乖乖完成验证，黑客默默接管账户。

这种攻击模式不是理论推演。Ganacharya确认，目前观察到的活动"标志着威胁行为者 sophistication 的显著提升"。sophistication 在这里不是褒义词——它意味着攻击工具正在快速商品化。

2月中旬，一个名为EvilTokens的钓鱼工具包开始以"服务"形式售卖。它专门针对微软设备码认证，承诺买家可以"静默认证为受害者"。运营商还放话：即将支持Gmail和Okta。

自动化武器化：从"手工作坊"到"工业流水线"

传统钓鱼攻击的瓶颈在于人力。写邮件、发邮件、跟进、收割——每个环节都需要人工介入。规模做不上去，特征还容易暴露。

这轮 campaign 完全不同。Ganacharya的描述像一份自动化工厂的运营报表："每个 campaign 大规模分发，针对数百个组织投放高度多样化、独特的 payload，使基于模式的检测更加困难。"

翻译一下：AI生成千变万化的钓鱼内容，自动化工具负责投递和后续渗透，人类攻击者只负责在关键环节做决策。这种分工让防御方的黑名单、特征码、规则引擎集体失效。

更棘手的是 post-compromise 行为的高度一致性。"财务相关身份是持续焦点，这些账户中观察到自动化邮件外泄。"攻击者不是在翻找感兴趣的内容，而是用算法直接定位发票、付款指令、银行信息。

微软没有将这波攻击归因于特定组织，但基础设施和工具特征与EvilTokens高度相似。这意味着什么？可能是同一批人在运营，也可能是工具包被多个买家分别使用——无论哪种情况，攻击门槛都在急剧降低。

防御者的两难：封设备码还是封业务？

企业安全团队现在面临一个经典困境。设备码认证不是边缘功能，是很多IoT设备和自动化工作流的刚需。一刀切禁用？会议室的无线投屏、打印机的云同步、产线的数据采集——全部瘫痪。

微软给出的缓解建议包括：监控异常的GetCredentialType调用、限制设备码认证的使用范围、对敏感账户启用更严格的条件访问策略。但这些都需要时间部署，而攻击者每天都在刷新受害者名单。

Ganacharya的数据是截止到采访时的快照：每天数百个组织被攻陷，10到15个独立 campaign 同时运行。考虑到EvilTokens承诺即将扩展至Gmail和Okta，这套攻击模板很可能正在复制到其他平台。

一个值得玩味的细节：攻击者在侦察阶段愿意投入10到15天。这种耐心与自动化的高效率形成反差——他们不缺技术，也不缺时间，缺的是高价值目标的访问权限。而财务岗位，恰好是ROI最高的切口。

企业邮箱里躺着多少未经审计的自动转发规则？多少设备码认证会话在静默运行？安全团队最近一次检查这些配置是什么时候？