Organizações que utilizam Microsoft 365 devem redobrar a atenção para campanhas de phishing que abusam do OAuth Device Code Flow, fluxo legítimo da Microsoft utilizado para autenticação em dispositivos com limitação de digitação, como smart TVs, impressoras, dispositivos compartilhados e alguns cenários específicos de uso corporativo.

Recentemente, o FBI emitiu um alerta sobre a plataforma Kali365, um serviço de phishing-as-a-service utilizado por criminosos para capturar tokens OAuth e obter acesso indevido a contas Microsoft 365. Diferentemente de golpes tradicionais, esse tipo de ataque não depende do roubo direto da senha do usuário.

Como funciona esse tipo de ataque

Nesse cenário, o atacante inicia um processo de autenticação e gera um código de dispositivo. Em seguida, utiliza uma abordagem de phishing para induzir a vítima a acessar uma página oficial da Microsoft e inserir o código informado.

Como o portal utilizado é legítimo, o usuário pode acreditar que está realizando uma autenticação válida. Ao inserir o código e concluir a autenticação, inclusive com MFA, a vítima pode autorizar, sem perceber, o acesso do atacante à conta Microsoft 365.

Com os tokens OAuth obtidos, o invasor pode acessar serviços como Outlook, Teams, OneDrive e SharePoint, sem precisar conhecer a senha do usuário ou interceptar códigos de verificação.

Pontos de atenção para os usuários

Solicitações inesperadas para inserir códigos de autenticação devem ser tratadas como suspeitas, mesmo quando o link direciona para uma página oficial da Microsoft.

Também é importante desconfiar de mensagens recebidas por e-mail, Teams, SMS ou aplicativos de mensagens que solicitem validação de acesso, liberação de documentos, aprovação de login ou qualquer ação envolvendo códigos de autenticação.

Na dúvida, o usuário deve interromper a ação e validar a solicitação com o time de TI ou Segurança da Informação por um canal oficial.

Recomendação de segurança para ambientes Microsoft 365

Como medida preventiva, recomendamos que os clientes Microsoft 365 avaliem o uso do Device Code Flow em seus ambientes e, sempre que não houver necessidade operacional documentada, realizem o bloqueio por meio de uma política de Acesso Condicional no Microsoft Entra ID.

A configuração recomendada é:

1. Criar uma política de Acesso Condicional para bloquear o Device Code Flow;
2. Aplicar a política para todos os usuários;
3. Excluir apenas contas break-glass e exceções estritamente necessárias;
4. Aplicar a política para todos os recursos em nuvem;
5. Habilitar inicialmente em modo Report-only, para validação de impacto;
6. Após a validação, alterar a política para On;
7. Monitorar os logs de sign-in para identificar tentativas de autenticação via deviceCode .

Caminho técnico no Microsoft Entra ID

A configuração pode ser realizada pelo seguinte caminho:

Microsoft Entra admin center → Conditional Access → Policies → New policy

Configuração sugerida:

• Users: All users
• Exclude: contas break-glass e exceções estritamente necessárias
• Target resources: All resources
• Conditions: Authentication flows
• Selecionar: Device code flow
• Grant: Block access
• Enable policy: Report-only inicialmente; depois On

Em ambientes que utilizam dispositivos como Teams Rooms, dispositivos compartilhados ou cenários técnicos que dependam do Device Code Flow, recomenda-se realizar uma validação prévia dos logs de autenticação e documentar exceções de forma restrita, com revisão periódica.

Segurança no Microsoft 365 exige atenção contínua

O bloqueio do Device Code Flow é uma medida importante para reduzir a exposição a ataques baseados em captura de tokens. No entanto, essa ação deve fazer parte de uma estratégia mais ampla de segurança, envolvendo governança de identidades, MFA, políticas de Acesso Condicional, monitoramento de atividades suspeitas, revisão de exceções e conscientização dos usuários.

Ataques modernos exploram fluxos legítimos das plataformas corporativas. Por isso, a proteção do Microsoft 365 deve combinar configuração técnica, visibilidade operacional e resposta rápida a comportamentos anômalos.

Como a Processor apoia sua empresa

A Processor apoia clientes Microsoft 365 na avaliação, configuração e evolução dos controles de segurança do ambiente, incluindo políticas de Acesso Condicional, governança de identidades, proteção contra phishing, monitoramento de eventos suspeitos e revisão de riscos associados ao uso da plataforma. Por meio do Processor SecOps Care 365, nossa equipe especialista atua na sustentação e evolução contínua da segurança do Microsoft 365, apoiando a identificação de riscos, a priorização de ajustes técnicos e a aplicação de boas práticas alinhadas ao contexto de cada organização.

Converse com nossos especialistas para revisar as configurações de segurança do seu ambiente Microsoft 365 e avaliar a necessidade de bloqueio do Device Code Flow.