MFA Microsoft 365 Kamu Ternyata Bisa Dibypass: Serangan Device Code OAuth TA2723 Sudah Sasar ASN dan Peneliti Indonesia

Kamu merasa aman karena sudah pakai MFA di akun Microsoft 365 kantor? Kamu rajin ganti password, tidak pernah klik link sembarangan, dan selalu verifikasi login lewat aplikasi authenticator. Tapi bagaimana kalau serangan yang mengincarmu justru tidak perlu mencuri passwordmu sama sekali, cukup menipumu untuk menyelesaikan proses autentikasi yang terlihat sah, dan dalam hitungan detik seluruh akses M365-mu sudah berpindah tangan? Di artikel ini, kamu bakal nemuin bagaimana serangan device code OAuth M365 bekerja, siapa TA2723 threat actor di baliknya, dan kenapa legitimate authentication bukan legitimate access adalah pelajaran paling penting yang harus dipahami setiap pengguna enterprise hari ini.

OAuth 2.0 Device Authorization Flow: Fitur Resmi yang Dijadikan Senjata

Untuk memahami kenapa OAuth device code attack ini begitu berbahaya, kamu perlu tahu dulu apa yang sebenarnya dieksploitasi. OAuth 2.0 Device Authorization Flow adalah mekanisme resmi yang dirancang Microsoft untuk memudahkan login di perangkat dengan keterbatasan input, seperti smart TV, printer jaringan, atau perangkat IoT yang tidak punya keyboard lengkap. Cara kerjanya: perangkat menghasilkan sebuah kode pendek, pengguna membuka microsoft.com/devicelogin di browser manapun, memasukkan kode itu, dan autentikasi selesai.

Celah desain yang kritis ada di sini: flow ini memisahkan proses login dari perangkat peminta token. Artinya, siapa pun yang memegang device code, bukan hanya pemilik perangkat asli bisa menyelesaikan autentikasi atas nama pengguna tersebut. Celah keamanan Microsoft 365 ini bukan bug dalam kode, melainkan kelemahan inheren dalam desain mekanisme itu sendiri. Dan itulah yang membuat bypass MFA Microsoft 365 melalui jalur ini begitu efektif: penyerang tidak perlu menembus MFA, mereka hanya perlu membuatmu menyelesaikannya untuk mereka.

Alur Serangan TA2723: Dari Email HR Hingga Akses Penuh M365

TA2723 threat actor adalah kelompok dengan motivasi finansial yang mulai menjalankan kampanye volume tinggi sejak Oktober 2025. Cara mereka beroperasi menggambarkan dengan sempurna mengapa phishing tanpa malware Microsoft jauh lebih sulit dideteksi dibanding serangan konvensional.

Serangan dimulai dengan phishing email HR payroll Microsoft, email yang berisi notifikasi dokumen gaji, peringatan keamanan akun, atau pemberitahuan HR yang terlihat sepenuhnya sah. Korban yang mengklik diarahkan ke halaman phishing yang menyerupai layanan Microsoft secara visual. Di sana, mereka diminta memasukkan email korporat mereka, sebuah tindakan yang tampak tidak berbahaya. Begitu email dimasukkan, OAuth device flow dipicu secara diam-diam di backend. Device code ditampilkan kepada korban dan device code bukan OTP penipuan ini dikemas seolah-olah itu adalah kode verifikasi biasa.

Korban kemudian diarahkan ke microsoft.com/devicelogin yang asli, bukan halaman palsu, dan menyelesaikan login beserta MFA seperti biasa. Dari perspektif korban, semuanya terlihat normal, bahkan URL-nya pun sah. Tapi di sisi lain, aplikasi milik penyerang sudah menerima access token M365 dicuri hacker yang valid yang memberikan akses penuh ke seluruh environment M365 korban, termasuk email, OneDrive, Teams, dan seluruh data korporat yang terhubung.

SquarePhish2 dan Graphish: Infrastruktur yang Membuat Serangan Ini Berskala Industri

Yang mengubah phishing OAuth Microsoft 365 ini dari ancaman individual menjadi krisis enterprise adalah keberadaan dua tools yang dirancang khusus untuk mengotomasi dan menskalakan serangan ini.

SquarePhish2 phishing tool adalah framework yang mengotomasi penuh proses OAuth device authorization, menggunakan kombinasi QR code dan server yang dikendalikan penyerang dan mudah dikonfigurasi dan dirancang untuk kampanye skala besar.

Graphish adversary-in-the-middle mengambil pendekatan yang lebih canggih. Dengan memanfaatkan Azure App Registration dan reverse proxy, Graphish menjalankan serangan adversary-in-the-middle yang mampu mencuri credential sekaligus session token pasca-MFA. Artinya bahkan jika korban kemudian mengganti password mereka, session token yang sudah dicuri tetap valid hingga masa berlakunya habis.

State-Aligned Actors dan Target Indonesia: ASN, Peneliti, hingga Policy Makers

Di luar TA2723 yang bermotivasi finansial, dimensi yang lebih mengkhawatirkan dari kampanye ini adalah keterlibatan serangan siber Russia-linked ASN Indonesia. Kelompok state-aligned actors yang diduga terhubung dengan Rusia menggunakan taktik serupa dengan target yang jauh lebih spesifik: Aparatur Sipil Negara, akademisi, peneliti, dan para pembuat kebijakan.

Metode yang digunakan oleh kelompok ini lebih halus dan lebih ditargetkan. Mereka memanfaatkan email pemerintah yang sudah dikompromikan sebelumnya sebagai titik masuk awal, membangun kepercayaan melalui komunikasi yang terlihat berasal dari sumber internal yang sah. OneDrive spoof Cloudflare Workers digunakan untuk membangun halaman landing yang nyaris identik dengan portal Microsoft resmi, membuat bahkan pengguna yang waspada sekalipun sulit membedakan mana yang asli. Bagi Indonesia, ini bukan ancaman abstrak. Keamanan siber Microsoft 365 enterprise di sektor pemerintahan dan akademik menjadi target strategis yang bernilai tinggi.

Mengapa "Saya Sudah Pakai MFA" Bukan Jawaban yang Cukup Lagi

Ini adalah perubahan paradigma penting yang perlu dipahami oleh setiap administrator IT dan pengguna enterprise. Mengaktifkan MFA saja tidak lagi cukup untuk melindungi lingkungan kerja modern. Langkah pertahanan pertama yang perlu segera diterapkan adalah kebijakan conditional access di Microsoft. Administrator sebaiknya menonaktifkan atau setidaknya membatasi Device Code Authentication bagi pengguna yang tidak benar-benar membutuhkannya dalam operasional sehari-hari.

Selain itu, organisasi perlu menerapkan conditional access berbasis trusted IP dan approved devices. Dengan pendekatan ini, hanya perangkat yang terdaftar dan memenuhi standar keamanan (compliant) yang dapat menyelesaikan proses autentikasi. Mitigasi terhadap risiko device code authentication juga harus disertai dengan pembaruan pelatihan keamanan secara berkala. Ada satu pesan penting yang perlu dipahami oleh setiap karyawan: device code bukanlah OTP dan tidak boleh dikirim melalui email.

Kesimpulan: Legitimate Authentication Tidak Sama dengan Legitimate Access

Legitimate authentication bukan legitimate access, kalimat ini adalah inti dari seluruh ancaman yang diuraikan di atas. Sistem keamanan yang hanya berfokus pada verifikasi identitas tanpa mempertanyakan konteks, perangkat, dan intent di balik setiap permintaan akses akan terus rentan terhadap serangan seperti ini.

OAuth 2.0 Device Authorization Flow exploit telah membuktikan bahwa penyerang tidak perlu lebih pintar dari sistemmu, mereka hanya perlu lebih pintar dari penggunamu. Dan selama organisasi belum menjadikan keamanan siber Microsoft 365 enterprise sebagai prioritas yang setara dengan produktivitas, celah antara autentikasi yang sah dan akses yang sah akan terus dieksploitasi oleh TA2723 dan kelompok-kelompok sejenis yang sudah ada di pintu masuk digitalmu hari ini.