Una ricerca documenta che le regole email native di M365 vengono usate sempre più spesso dopo una compromissione per esfiltrare dati e frodare le aziende.
Autore: Redazione SecurityOpenLab
Nel quarto trimestre 2025 circa il 10% degli account Microsoft 365 compromessi presentava regole email malevole create a seguito di una violazione iniziale; in alcuni casi il tempo di reazione degli attaccanti è stato di circa cinque secondi dall'accesso. Lo rileva Proofpoint in un'analisi pubblicata oggi che documenta come le regole della casella email di M365, che sono una funzionalità nativa nata per l’organizzazione dei messaggi, siano diventate uno strumento sistematico post-exploitation.
La scelta di abusare di funzionalità legittime invece di installare malware non è casuale e si riallaccia a tutta una serie di nuove tattiche che da tempo vengono attuate per abbassare la soglia di rilevamento, eliminare la necessità di infrastrutture di comando e controllo dedicate e garantire persistenza anche dopo il reset delle credenziali. È la pluripremiata logica del living-off-the-land applicata al cloud, osservata per esempio negli attacchi che sfruttano token OAuth per mantenere accesso persistente senza credenziali, nelle campagne di phishing che abusano di servizi legittimi come SharePoint o OneDrive per ospitare le esche, e più in generale nell'uso di strumenti di amministrazione nativi. Le regole email di M365 si inseriscono in questo schema, in virtù del fatto che non richiedono installazione, non generano alert negli strumenti tradizionali di detection e non modificano configurazioni di sistema.
Inoltre, eliminano la necessità di infrastrutture di comando e controllo dedicate e garantiscono persistenza anche dopo il reset delle credenziali. Le regole di forwarding continuano a far trapelare informazioni finché non vengono esplicitamente rimosse, indipendentemente dai cambi di password. Il dato sul 10% degli account compromessi indica che la tecnica è diventata un elemento ricorrente nel repertorio degli attacchi cloud.
L'accesso iniziale avviene attraverso phishing delle credenziali, password spraying, brute force o abuso del flusso di consenso OAuth. Una volta entrato nell’account, l'attaccante crea immediatamente una o più regole email con nomi volutamente insignificanti. Proofpoint ha rilevato che in oltre il 40% dei casi analizzati le denominazioni più frequenti sono caratteri singoli o sequenze minimali. La logica è quella della noncuranza: le regole email sono raramente monitorate, quindi non vale la pena camuffarle.
Le regole così configurate hanno due obiettivi. Il primo è l'esfiltrazione: le email che contengono parole chiave ad alto valore come fattura, bonifico o contratto vengono spostate verso cartelle raramente visitate, come Archive o RSS Subscriptions, oppure inoltrate direttamente verso caselle esterne controllate dall'attaccante. Il secondo obiettivo è la soppressione: gli avvisi di accesso anomalo, le notifiche MFA e le richieste di reset password vengono eliminati o spostati prima che l'utente li veda, in modo che la vittima non si accorga di nulla.
Il meccanismo diventa particolarmente insidioso negli scenari di Business Email Compromise. In un caso documentato da Proofpoint, dopo la compromissione dell'account di un contabile è stata creata una regola email che nascondeva le risposte a una campagna di phishing interno, spedita a 45 dipendenti fra cui l'assistente del CEO; dopo la compromissione di questo secondo account, una nuova regola ha soppresso tutte le email relative ai cedolini, aprendo la strada a un tentativo di frode sul pagamento degli stipendi. L'intera sequenza si è svolta dentro M365, senza mai toccare infrastrutture esterne.
In un secondo scenario Proofpoint descrive un'operazione più elaborata, in cui la regola email ha svolto un ruolo di copertura per un attacco che si è sviluppato anche fuori da M365. Dopo aver compromesso un account aziendale, l'attaccante ha creato una regola che nascondeva automaticamente tutte le email provenienti da Zoho. Ha poi usato la casella compromessa per registrarsi al servizio email di Zoho: i codici di verifica, intercettati dalla regola, erano invisibili alla vittima, che quindi non si è accorta di nulla. Con l'account Zoho così ottenuto, l'attaccante ha registrato un dominio quasi identico a quello dell'azienda e lo ha inserito in copia in un thread di pagamento già in corso con un fornitore esterno. Da quel momento controllava la conversazione senza dover mantenere accesso continuo alla casella originale.
Microsoft 365 permette di bloccare l'inoltro automatico verso indirizzi esterni tramite le policy di Exchange Online: l’opzione dev’essere configurata. Le Conditional Access Policy devono imporre MFA, verificare la compliance del dispositivo e bloccare l'autenticazione legacy. Il monitoraggio delle concessioni OAuth, in particolare per i permessi Mail.Read e Mail.ReadWrite, consente di individuare accessi persistenti che sopravvivono al cambio delle credenziali. In caso di incidente, bisogna revocare tutte le sessioni attive e i refresh token, oltre a rimuovere le regole malevole, perché una nuova password da sola non chiude la finestra di accesso se il token di sessione originale è ancora valido.