Saltar al contenido principal

Entra ID Device Code Phishing

Microsoft device-code flow está pensado para TVs y dispositivos sin teclado.

Categoría: Cloud (AWS · Azure · GCP) 🎯 Trinchera — Microsoft device-code flow está pensado para TVs y dispositivos sin teclado. El atacante inicia el flow, manda el código por email/SMS, la víctima lo introduce en microsoft.com/devicelogin → atacante recibe token + refresh token + Primary Refresh Token (PRT). 🔗 Kill chainroadtx devicecode -c <client> → phishing → roadtx interactiveauthroadtx prtenrich → PRT activo. Storm-2372 y campañas AI-enabled (abril 2026) lo usan masivo. 📡 Huella defensiva — Sign-in logs Entra con AuthenticationProtocol=DeviceCode, IPs anómalas, agentes raros. ⚠️ Falso amigo — El ataque es legítimo desde el punto de vista del flujo OAuth — sólo es phishing del input. 🛡️ Remediación — Conditional Access bloqueando device code para usuarios que no lo necesitan; políticas que requieran compliant device.
Volver al glosario completo Última actualización: 2026-06-11