Uno spray, non una svolta tecnica
La società di sicurezza Huntress ha reso nota una campagna di password spraying attiva dal 12 al 26 giugno 2026, con il picco il 22 giugno, nella quale più di 81 milioni di tentativi di accesso sono stati diretti contro account Microsoft 365. Il traffico proveniva da un intervallo IPv6 registrato a un unico operatore, e gli attaccanti non indovinavano le password alla cieca. Riproponevano coppie di nome utente e password raccolte da violazioni precedenti e non correlate, scommettendo sul fatto che le persone riutilizzano le credenziali tra i servizi. Da quel diluvio, 78 account sono stati compromessi in 64 organizzazioni.
Ciò che lo rende degno di nota è l'assenza di qualsiasi cosa esotica. Non c'era uno zero-day, né un malware ingegnoso, né un trucco sulla catena di fornitura. Era volume più credenziali riutilizzate più un percorso di autenticazione debole. Quella combinazione è alla portata di qualsiasi attaccante comune, ed è proprio per questo che merita l'attenzione di un titolare: la tecnica è economica, ripetibile e mira allo strato di identità che la maggior parte delle aziende dà per già protetto con l'autenticazione a più fattori.
Come gli accessi hanno superato l'MFA
Il meccanismo era un vecchio percorso di accesso. Gli attaccanti si sono autenticati tramite gli strumenti da riga di comando di Azure usando il flusso Resource Owner Password Credentials, noto come ROPC, un metodo OAuth più vecchio che accetta direttamente nome utente e password e, in molti tenant, non attiva alcuna richiesta a più fattori. Dove un tenant aveva l'MFA attivato ma limitato in modo stretto, le credenziali riutilizzate passavano dritte attraverso il varco. Huntress ha trovato le stesse configurazioni errate più e più volte: MFA applicato solo ad applicazioni selezionate, MFA imposto solo ai gruppi di amministratori, MFA richiesto solo dalle posizioni non attendibili e politiche di Conditional Access lasciate in modalità solo report, dove registrano ma non bloccano mai.
La lezione meno ovvia è che l'MFA non è un interruttore, ma una mappa di copertura. Un tenant può superare un audit che chiede se l'MFA esiste e lasciare comunque una vecchia porta aperta. Gli attaccanti non hanno sconfitto l'autenticazione a più fattori; hanno trovato gli accessi in cui non veniva mai richiesta. Questa distinzione è tutta la storia, e resta invisibile finché qualcuno non verifica quali percorsi di autenticazione un tenant consente ancora.
La mezz'ora che chiude il divario
Questo è un problema di configurazione con una risposta di configurazione, e gran parte di esso è una breve sessione amministrativa anziché un acquisto. Bloccate l'autenticazione legacy e disabilitate il flusso ROPC, così che gli accessi con nome utente e password che saltano l'MFA vengano semplicemente rifiutati. Imponete l'autenticazione a più fattori su ogni applicazione e ogni accesso, non solo sugli account amministratore o sulle posizioni non attendibili, e spostate Conditional Access dalla modalità solo report al blocco attivo. Poi controllate i log di accesso alla ricerca del pattern dello spray fallito e reimpostate ogni credenziale che una violazione passata potrebbe aver esposto.
Per un'azienda europea c'è una seconda ragione per muoversi in fretta. Se credenziali riutilizzate aprono una casella di posta che contiene dati personali, l'incidente può far scattare un obbligo di notifica ai sensi del RGPD entro 72 ore, così che un silenzioso divario di identità può diventare un evento notificabile e un colloquio con il Garante. L'ACN raccomanda proprio questa igiene di configurazione. Il costo di chiudere la porta è un pomeriggio di configurazione; il costo di lasciarla aperta si misura in obblighi di divulgazione e fiducia perduta. Trattate lo strato di identità come il perimetro che è diventato.
Da leggere ora: Il tuo editor IA può eseguire codice ostile | Il tuo fornitore è la porta del ransomware



