Логотип
Главная | Статьи | Обход MFA через session hijacking и OAuth-флоу: разбор без соплей
Обход MFA через session hijacking и OAuth-флоу: разбор без соплей

Обход MFA через session hijacking и OAuth-флоу: разбор без соплей

8 июля, 2026

46

Слушай, бро, тема горячая – MFA считают серебряной пулей, а на деле её обходят пачками через кражу токенов и злоупотребление OAuth. По данным Microsoft за 2025 год, 80% инцидентов с обходом MFA связаны именно с кражей и повторным использованием сессионных токенов, а не с паролями. Разбираемся, как это работает технически и что с этим делать.

Почему MFA не панацея

MFA защищает момент входа – проверку логина и пароля плюс второй фактор. Но после успешной аутентификации сервер выдаёт сессионный токен (cookie или bearer-токен), и именно этот артефакт браузер прикладывает к каждому последующему запросу. Если атакующий украдёт этот токен, он получает доступ к аккаунту без повторного прохождения MFA – второй фактор просто не срабатывает, потому что вход уже “случился”.

Credential-атаки бьют по входным данным (логин/пароль) – их MFA останавливает. Session hijacking бьёт по выходу процесса — по токену, который уже прошёл проверку.

Техника 1: AiTM-фишинг (Evilginx2, Modlishka, Muraena)

Классика жанра – adversary-in-the-middle proxy встаёт между жертвой и легитимным сайтом. Жертва вводит логин, пароль, проходит MFA – а прокси в реальном времени перехватывает сессионный cookie после успешной аутентификации. Атакующий забирает этот cookie и открывает сессию с любой другой машины, не оставляя следов взлома пароля.

Схема атаки:

  • Жертве отправляют фишинговую ссылку, ведущую на прокси-домен, визуально идентичный оригиналу
  • Прокси зеркалит легитимную страницу входа и транслирует все запросы на настоящий сервер
  • Пользователь вводит креды и проходит MFA-challenge – всё как обычно
  • В момент выдачи сессионного cookie прокси его логирует
  • Атакующий импортирует cookie в свой браузер и получает полный доступ к сессии

Инфостилеры (RedLine, Lumma и подобные) работают похожим образом – читают cookie прямо из хранилища браузера жертвы и сразу продают в стилер-логах.

Техника 2: OAuth token hijacking и consent phishing

OAuth-токены (access и refresh) после выдачи работают независимо от пароля и MFA, пока их явно не отозвали. Свежий пример 2026 года – атака ConsentFix против Microsoft Entra ID: злоумышленник злоупотребляет легитимным OAuth authorization code flow, заставляя жертву выдать код авторизации, который потом обменивается на токены без единого MFA-запроса.

Более простой вектор для пентеста – злоупотребление device code flow (RFC 8628), придуманным для устройств с ограниченным вводом (Smart TV, CLI-утилиты):

Жертва честно прошла MFA – но токены получил атакующий. Refresh-токен может жить месяцами, обеспечивая персистентный доступ к почте, файлам и API без повторной проверки личности.

Техника 3: Перехват authorization code через MITM

Для пентеста SSO-флоу связка mitmproxy + подмена redirect_uri – рабочий кейс:

Если redirect_uri принимает любые поддомены, а код авторизации не одноразовый – можно перехватить код на этапе редиректа и обменять его на токен раньше легитимного клиента.

Сравнение векторов

ВекторЧто крадутМомент кражиОбходит MFA?
AiTM-прокси (Evilginx2)Сессионный cookieПосле прохождения MFA жертвойДа, полностью
Инфостилер-малварьCookie из браузераПостфактум, локально на хостеДа
OAuth device code abuseAccess/refresh tokenЖертва сама авторизуетДа
Consent phishing (ConsentFix)OAuth access tokenЧерез authorization codeДа, MFA не триггерится
Push-усталость (MFA bombing)Само подтверждениеНа этапе входаЧастично, через соц. инженерию

Защита: что реально работает

Короткие сессии – это база: чем меньше живёт токен, тем меньше окно для атакующего. Для Microsoft-инфраструктуры включай Token Protection в Conditional Access под “Session controls” – это привязывает токен к конкретному устройству и делает бессмысленной его кражу с другой машины.

  • Token binding по IP/устройству (DPoP, mTLS) – токен не работает без исходного контекста, даже если украден
  • Ротация сессионных cookie сразу после логина, а не переиспользование pre-auth сессии
  • Строгая валидация redirect_uri без wildcard-доменов и поддоменов
  • Одноразовые authorization code с немедленной инвалидацией после обмена на токен
  • Re-prompt MFA для чувствительных scope и операций, а не только на старте сессии
  • Мониторинг Entra ID / IdP логов на нетипичные non-interactive sign-in с аномальных IP, с автоматическим revoke сессии при детекте

Главный вывод для защитников: MFA – это проверка личности в момент входа, а не защита самого токена после. Пока индустрия массово не перейдёт на sender-constrained токены (DPoP/mTLS) и короткие TTL, session hijacking и OAuth-абьюз будут топовым способом обхода MFA в 2026 году.