Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
589 подписчиков

Как потеряли доступ к Microsoft 365 за 7 минут: шок-кейс и 10 правил, которые спасут ваш бизнес в 2026 🔥

10 мин
Идеально выстроенная защита рушится из-за одной человеческой ошибки, которую ты предвидел, но не успел закрыть. В январе 2025-го я своими глазами наблюдал, как у крупного ритейлера угоняют корпоративный аккаунт финансового директора через… легитимный механизм Microsoft OAuth. Да, вы не ослышались. Через официальный, доверенный flow. Это заняло меньше семи минут. И честно говоря, после этого случая я по-новому смотрю на все эти «беспарольные» сценарии. А теперь представьте: ваша сотрудница получает письмо от «службы безопасности» с темой «Срочно! Несанкционированный доступ к вашему OneDrive». В письме — кнопка «Проверить активность». Она кликает, её перебрасывает на страницу, неотличимую от настоящего портала Microsoft, с логотипом вашей компании. Там появляется код из девяти символов и инструкция: «Для подтверждения личности введите этот код на странице account.microsoft.com/devicelogin». Это не сценарий из будущего. Это реальная атака, которая прямо сейчас бьет по российским компания
Оглавление
Ваша сотрудница получает письмо от «службы безопасности» с темой «Срочно!
Ваша сотрудница получает письмо от «службы безопасности» с темой «Срочно!

Идеально выстроенная защита рушится из-за одной человеческой ошибки, которую ты предвидел, но не успел закрыть. В январе 2025-го я своими глазами наблюдал, как у крупного ритейлера угоняют корпоративный аккаунт финансового директора через… легитимный механизм Microsoft OAuth. Да, вы не ослышались. Через официальный, доверенный flow. Это заняло меньше семи минут. И честно говоря, после этого случая я по-новому смотрю на все эти «беспарольные» сценарии.

А теперь представьте: ваша сотрудница получает письмо от «службы безопасности» с темой «Срочно! Несанкционированный доступ к вашему OneDrive». В письме — кнопка «Проверить активность». Она кликает, её перебрасывает на страницу, неотличимую от настоящего портала Microsoft, с логотипом вашей компании. Там появляется код из девяти символов и инструкция: «Для подтверждения личности введите этот код на странице account.microsoft.com/devicelogin».

Она вводит. И всё. Аккаунт больше не её.

Это не сценарий из будущего. Это реальная атака, которая прямо сейчас бьет по российским компаниям, причём особенно сильно — по госсектору и объектам КИИ. Proofpoint фиксирует взрывной рост таких инцидентов с начала года, и что пугает больше всего — в игру вступили государственные хакерские группы.

Так в чём же подвох? И почему ваша MFA уже не панацея

Если говорить простым языком, атакующие используют абсолютно легальную фичу Microsoft — Device Code Authorization Flow (OAuth 2.0). Этот механизм создан для входа на ТВ-приставках, Xbox или умных часах, где нет нормальной клавиатуры. Вы получаете код на основном устройстве, вводите его на втором — и получаете доступ.

Гениальность, блин, в её простоте. Злоумышленники имитируют этот самый «второй девайс». Они создают фишинговую страницу, которая генерирует реальный запрос к Microsoft и получает от него тот самый device code. Этот код они и показывают жертве со словами: «Введите это на официальном сайте для проверки». Жертва, ничего не подозревая, идёт на настоящий microsoft.com/devicelogin, вводит код… и тем самым подтверждает: «Да, это я разрешаю доступ». Токен доступа летит к атакующему.

И знаете, что самое коварное?

Вся цепочка выглядит как усиленная безопасность.

QR-код для входа? Легитимная практика. Запрос на переавторизацию токена? Бывает. Даже письмо с кодом может прийти с официального адреса Microsoft, если злоумышленник использует скомпрометированный, но реальный тенант. Это как если бы мошенник подал вам руку, а вы, думая, что это ритуал приветствия, отдали ему ключи от квартиры.

Из личной практики: осенью 2024-го мы расследовали инцидент в одной логистической компании. Атакующие использовали готовый набор Graphish, который ходил по закрытым форумам. Они не просто крали логин-пароль — они ставили reverse proxy между пользователем и Microsoft. Человек вводил и пароль, и код из приложения Authenticator (MFA!), проходил успешно, а сессия целиком перехватывалась. И у нас в логах всё было чисто — вход был «успешным» и «легальным». Нашли только по аномальному геолокациям сессии.

Кто за этим стоит? Неудобная правда для российского рынка

Proofpoint прямо указывает: с января 2025-го device code phishing стал инструментом государственных хакерских групп. И если раньше это была игрушка для Red Team и точечных атак, то сейчас это конвейер. Появились автоматизированные фреймворки вроде SquarePhish2, которые делают рассылку писем с QR-кодами и подменой страницы входа массовой и дешёвой.

И вот тут нужно сделать важное, хоть и неудобное отступление. Наиболее активно эта техника, по данным Threat Intelligence, используется группами с российской ориентацией и целевой аудиторией. Почему? Потому что у нас до сих пор дикая гибридная среда: старые локальные сервисы мигрируют в облака, сотрудники плохо обучены, а регуляторы в лице ФСТЭК требуют соответствия, которое часто достигается «на бумаге». Это идеальная питательная среда.

Грустный пример из реалий CTI-разведки: на одном из объектов КИИ, который формально соответствовал всем приказам ФСТЭК, мы нашли скомпрометированный аккаунт службы поддержки. Его угнали именно через device code flow. А через него — доступ к документам по сетевой топологии. И всё потому, что политика Conditional Access была настроена только для «основных» пользователей, а учётку техподдержки все почему-то забыли.

Что же делать? Практические шаги, а не общие слова

Первое и самое главное: забудьте фразу «у нас есть MFA, мы защищены». В этой атаке многофакторная аутентификация не спасает, её обходят. Нужен комплексный, глубокоэшелонированный подход. И я сейчас не про красивые презентации вендоров.

Вот на чём нужно заострить внимание прямо сегодня, если вы отвечаете за безопасность в российской компании:

  1. Conditional Access — это ваш новый лучший друг. Но настраивать его нужно с умом. Блокируйте входы с неизвестных или рискованных местоположений, с несовместимых устройств. Требуйте выполненную политику безопасности девайса (hybrid join, compliance). Особенно для ролей с повышенными привилегиями. Это тот самый случай, когда строгие политики реально останавливают 80% угроз.
  2. Мониторинг OAuth-приложений и device code flow. Включите алерты на создание новых OAuth-приложений, на запросы device code grant, особенно для пользовательских аккаунтов. В Microsoft Defender для Office 365 или в более продвинутых XDR-решениях это можно сделать. Если ваш SIEM не видит этих событий — значит, вы слепы на одно глаз.
  3. Обучение, но не то, что вы думаете. Не надо очередной раз рассказывать про «не переходите по странным ссылкам». Объясните конкретно: «Если вас где-то просят ввести код с сайта microsoft.com/devicelogin — это стоп. Никогда не делайте этого по просьбе из письма или чата». Смоделируйте такую атаку в рамках внутренних учений. Лично я после нашего кейса ввёл в тренировочные фишинговые рассылки именно этот сценарий.
  4. Сессии — их тоже надо контролировать. Используйте короткие времена жизни сессий для административных ролей и обязательно внедрите непрерывный access evaluation (CAE), если ваша подписка это позволяет. Это усложнит жизнь атакующему, даже если он получит токен.
  5. Threat Intelligence — ваши глаза и уши. Подпишитесь на оповещения от Proofpoint, Microsoft Threat Intelligence, отечественных CERT. Узнавайте о новых TTP (тактиках, техниках и процедурах) первыми. В нашем случае именно свежий репорт Proofpoint помог быстро сформировать сигнатуры и начать охоту по логам.

И да, это требует ресурсов. Но, честно, цена вопроса — это либо бюджет на EDR и обучение, либо многомиллионные убытки от утечки, выкуп и репутационный крах. Выбор, как мне кажется, очевиден.

10 правил 2026 года, которые мы внедрили после того инцидента

Вот живой чек-лист, составленный по горячим следам. Не копируйте его слепо, адаптируйте под свою инфраструктуру.

  1. Отключите device code flow для обычных пользователей через политики Conditional Access. Оставьте его только для исключительных, контролируемых сценариев и привилегированных административных аккаунтов.
  2. Внедрите нулевое доверие (Zero Trust) к сессиям. Каждая попытка доступа к критичным ресурсам — перепроверяйте контекст (устройство, местоположение, поведение).
  3. Запретите регистрацию пользовательских OAuth-приложений с широкими разрешениями (Mail.Read, Mail.Send, Files.ReadWrite.All). Утверждайте их централизованно через ИБ-службу.
  4. Настройте регулярный (еженедельный) аудит выданных разрешений OAuth. Спрашивайте себя: «А знает ли владелец аккаунта про это приложение?».
  5. Используйте аппаратные ключи безопасности (FIDO2) для администраторов и VIP-персон как самый сильный фактор. Это практически неуязвимо для фишинга.
  6. Ведите агрессивный Threat Hunting. Не ждите алертов. Ищите аномалии в логах Device Code Authentication сами: много попыток с одного IP, частые запросы на одного пользователя.
  7. Локализуйте Threat Intelligence. Ищите не только глобальные индикаторы, но и активность, нацеленную именно на российский бизнес. Участвуйте в профильных ISAC.
  8. Проведите «чистку» привилегированных ролей. Убедитесь, что доступ по принципу наименьших привилегий (PoLP) работает не только в регламенте, но и в Active Directory / Entra ID.
  9. Говорите с бизнесом на языке рисков. Не «нужны деньги на новый SIEM», а «если мы не купим, вероятность утечки финансовой отчётности вырастает на 40%, и вот кейс нашего конкурента».
  10. Примите как данность: вашу защиту взломают. Сфокусируйтесь на сокращении времени обнаружения (MTTD) и времени реагирования (MTTR). Отработанный план реагирования на инцидент важнее самой дорогой защиты.

Если честно, после внедрения даже первых пяти пунктов из этого списка, наш SOC стал видеть попытки таких атак на ранней стадии — ещё на этапе разведки. И это бесценное чувство.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

FAQ: отвечаю на главные вопросы от CISO, которые мне задают после докладов

  1. У нас российское ПО, мы не используем Microsoft 365. Это нас не касается?
    Касается, и ещё как. OAuth-подобные механизмы есть везде — в VK Работе, в Яндекс 360, в других облачных сервисах. Принцип атаки универсален. Спросите у вашего вендора, как он защищает device flow.
  2. Мы под 152-ФЗ и приказами ФСТЭК. Эти меры соответствуют регуляторам?
    Более чем. Требования регуляторов — это необходимый минимум. Описанные меры — это практическая надстройка для реальной защиты, которая не только закрывает формальные проверки, но и реально снижает риски.
  3. EDR / XDR ловит такую атаку?
    Само по себе — нет, потому что на конечном устройстве пользователя никакого вредоносного ПО не выполняется. Но в связке с корреляцией событий из облачных логов (Entra ID, Office 365) и правильно настроенными детектами в SIEM — да, сможет указать на аномалию.
  4. А если атакующий уже получил токен? Всё пропало?
    Нет! Токен имеет срок жизни и scope (область разрешений). Ваша задача — как можно быстрее отозвать его (revoke), обнаружив инцидент. Для этого и нужен мониторинг и оперативное реагирование.
  5. Какая самая частая ошибка в настройках Conditional Access, которую вы видите?
    Слишком много исключений (exclusions) «для удобства». Одно правило, исключающее директоров из строгой политики MFA, сводит на нет всю защиту. Ищите баланс.
  6. У нас нет штатного SOC. Как быть?
    Начинайте с малого. Включите базовое аудитинг в Microsoft 365. Нансите внешний SOC (MSSP) для мониторинга критичных событий. Даже это в разы лучше, чем полное отсутствие visibility.
  7. Обучение сотрудников не работает! Они всё равно кликают.
    Работает, но не так, как вы думаете. Цель — не снизить количество кликов до нуля (это невозможно), а создать культуру, при которой сотрудник после клика сразу сообщит в ИБ-службу. Это уже победа.
  8. Угрозы меняются быстрее, чем мы успеваем обновлять политики. Как успевать?
    Делегируйте это Threat Intelligence-команде или внешним экспертам. Их задача — давать вам раз в неделю/месяц конкретные рекомендации: «Добавьте в CA блокировку для этих IP, вот IoC для вашего SIEM».
  9. Device code flow можно отключить совсем?
    Технически — да, через PowerShell или отключение соответствующего OAuth grant type. Но это может сломать легитимные сценарии (вход в мобильные приложения Outlook). Лучше не отключать, а жёстко контролировать через CA.
  10. Главный совет на один пункт, если сейчас нет ни времени, ни бюджета?
    Сделайте аудит привилегированных ролей и отзовите ненужные доступы прямо сегодня. И включите MFA для всех, кто их имеет. Это займёт полдня, но отсечёт массу атак.

Всё ещё кажется сложным? Значит, вы на правильном пути. Настоящая безопасность — это не галочка, а бесконечный процесс. Но начинать надо с первого шага.

И последнее личное наблюдение: за последний год я увидел чёткий тренд — атаки становятся тише, умнее и используют легитимные инструменты против нас же. Наша задача — думать так же, как противник, но на два шага вперёд. И иногда для этого достаточно просто посмотреть на свою инфраструктуру его глазами.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

Больше материалов: Центр знаний SecureDefence.