Microsoft 365 sotto assedio: oltre 81 milioni di tentativi di accesso mettono in crisi le policy MFA

Un’ondata di attività ostile contro ambienti Microsoft 365 ha dimostrato che implementare l’autenticazione a più fattori (MFA) non equivale automaticamente a essere protetti. Nel giro di appena due settimane, sono stati registrati oltre 81 milioni di tentativi di accesso fraudolenti, numeri che mostrano una crescita importante della pressione esercitata dagli attori malevoli sulle infrastrutture cloud aziendali.
L’operazione, osservata dai ricercatori di Huntress tra il 12 e il 26 giugno, ha preso di mira decine di organizzazioni sfruttando una tecnica consolidata ma ancora sorprendentemente efficace come il “password spraying”. A differenza dei classici attacchi brute force, che cercano migliaia di password su un singolo account fino a individuarne una valida, questo approccio distribuisce un numero limitato di password comuni su un elevato numero di utenti. Una strategia apparentemente semplice che consente di ridurre il rischio di blocchi automatici degli account e di aggirare molti sistemi di rilevamento basati su anomalie comportamentali.
L’elemento più interessante dell’operazione riguarda però la modalità scelta per tentare l’accesso. Gli aggressori hanno infatti utilizzato Azure CLI, lo strumento a riga di comando messo a disposizione da Microsoft per amministrare risorse cloud e automatizzare operazioni nell’ecosistema Azure. Si tratta di una piattaforma largamente adottata dagli amministratori di sistema per gestire macchine virtuali, database, applicazioni e attività infrastrutturali.
Il fatto che uno strumento amministrativo legittimo possa trasformarsi in un vettore offensivo non rappresenta una novità assoluta. Da anni gli specialisti parlano di “living off the land”, un approccio che consiste nell’utilizzare software e strumenti già presenti negli ambienti aziendali per ridurre la possibilità di essere individuati. Il traffico generato da componenti riconosciuti e affidabili tende infatti a destare meno sospetti rispetto a malware tradizionali o software sviluppati appositamente per attività dannose.
Secondo quanto emerso dall’analisi di Huntress, gli attaccanti disponevano di combinazioni di credenziali provenienti da violazioni precedenti. Username e password compromessi in vecchi data breach continuano a circolare nei marketplace clandestini e nei forum specializzati, creando un archivio enorme di dati che conserva valore anche a distanza di anni.
Una volta individuata una credenziale ancora valida, entrava in gioco il meccanismo OAuth ROPC, acronimo di Resource Owner Password Credentials. Questo metodo consente di inviare direttamente le credenziali verso l’endpoint di autenticazione senza passare attraverso il classico flusso interattivo richiesto dai sistemi moderni.
Il problema è che proprio questa caratteristica rischia di trasformarsi in una scorciatoia pericolosa. ROPC nasce da logiche ormai considerate legacy e presenta limitazioni note sul fronte della sicurezza, tra cui l’assenza di supporto completo per processi contemporanei come autenticazione multifattore o Single Sign-On. In diversi ambienti analizzati, l’MFA risultava attivo, ma non copriva lo specifico scenario sfruttato dagli aggressori. In pratica, la protezione esisteva sulla carta, mentre nella realtà lasciava aperti percorsi alternativi.
Gli errori di configurazione individuati mostrano uno schema piuttosto ricorrente nelle infrastrutture aziendali. Alcune organizzazioni avevano applicato l’autenticazione multifattore soltanto a specifiche applicazioni cloud invece di estenderla all’intero ecosistema Microsoft. Altri ambienti limitavano i controlli agli amministratori, lasciando utenti standard con livelli di protezione inferiori. In certi casi le policy venivano applicate soltanto a traffico considerato non affidabile, assumendo implicitamente che determinate origini di rete fossero sicure. Sono emerse persino configurazioni lasciate in modalità di sola analisi e mai trasformate in regole realmente operative.
Il risultato finale, secondo quanto riportato da Huntress, è stata la compromissione di 78 account Microsoft appartenenti a 64 diverse organizzazioni, con un incremento superiore a 155 volte negli attacchi di password spraying rispetto ai livelli abituali.
(Immagine in apertura: Shutterstock)

