>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

L’abuso dell’autenticazione Microsoft è il nuovo phishing

Con le difese sempre più efficaci, gli attaccanti cambiano strada e sfruttano i meccanismi di login legittimi, lasciando alle vittime il compito di autenticarsi.

L’abuso dell’autenticazione Microsoft è il nuovo phishing
Tecnologie/Scenari

Una ricerca di Kaspersky ha individuato una campagna attiva dai primi di aprile a metà maggio 2026 che ha permesso agli attaccanti di impossessarsi di access token, refresh token e ID token delle vittime, con accesso alla email, ai file su OneDrive e alle conversazioni Teams. La chiave di volta è stato che l’autenticazione, inclusa la verifica a più fattori, si è svolta sul portale ufficiale di Microsoft. La tecnica osservata dai ricercatori ribalta l'assunto che ormai tutti ben conoscono che per difendersi dal phishing bisogna verificare il dominio prima di inserire le credenziali, dato che un sito fraudolento si distingue quasi sempre per qualche carattere fuori posto.

Nel caso di questa campagna non è così: il sito in cui gli attaccanti chiedono alla potenziale vittima di autenticarsi è proprio quello legittimo, la Microsoft Identity Platform che implementa la specifica OAuth 2.0, nota come Device Authorization Grant. E anche l'autenticazione a più fattori viene eseguita davvero dall'utente sulla pagina autentica.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Nonostante lo stupore, non siamo di fronte a un inedito, anzi, il caso si inserisce in un ambito che SecurityOpenLab segue da tempo: man mano che le soluzioni di difesa diventano più efficaci, gli attaccanti spostano la loro attività illecita sull'abuso degli strumenti di lavoro quotidiani, che gli utenti considerano affidabili per definizione. Ne sono esempi concreti l'AI che ha reso industriale il device code phishing documentato dal Microsoft Defender Security Research Team, le regole di posta di Microsoft 365 che sono diventate un'arma di persistenza e le finte applicazioni OAuth mascherate da servizi noti. Il filo conduttore è la tecnica del living-off-the-land applicata al cloud: sfruttare funzioni native e servizi fidati per confondersi con il traffico ordinario e abbassare la soglia di rilevamento.

Tornando all’attacco monitorato da Kaspersky, la logica si riallaccia al Device Authorization Grant, una soluzione che nasce per semplificare l'accesso a Smart TV, dispositivi IoT, stampanti e in generale ad hardware privo di browser o di tastiera. Appoggiandosi a uno smartphone o a un PC vicino, il meccanismo consente di autorizzare tali apparecchi. L'apparecchio chiede a Microsoft il permesso di collegarsi e specifica a quale servizio vuole accedere e quali dati gli occorrono; Microsoft risponde generando al volo un codice breve da mostrare all'utente e l'indirizzo della pagina in cui digitarlo, insieme al tempo di validità del codice stesso. Da quel momento l'apparecchio controlla a intervalli regolari se la persona inserisce il codice.

Una volta fatto, la persona conferma di voler collegare l'apparecchio e il gioco è fatto: Microsoft consegna al dispositivo tre lasciapassare digitali. Il primo serve a usare subito i dati e ha valenza di circa un'ora. Il secondo permette di rinnovare l'accesso in automatico quando il primo scade, senza chiedere nulla all'utente. Il terzo contiene semplicemente nome ed email di chi ha effettuato l'accesso. Ovviamente è il secondo lasciapassare a fare gola agli attaccanti, perché una volta ottenuto garantisce loro l'ingresso all'account per settimane o mesi, anche dopo un cambio di password.

L’attacco

Nella campagna analizzata da Kaspersky l'email iniziale si presentava come una comunicazione di uno studio legale, con in allegato un PDF protetto da password, che una volta aperto si rivelava essere una pagina che elencava documenti consultabili solo cliccando su un link. L'indirizzo di destinazione portava a un legittimo indirizzo Microsoft, con i parametri dell'URL configurati per reindirizzare verso la risorsa malevola.

La pagina ufficiale di Microsoft in attesa del codice di autenticazione

Qui entra in gioco il meccanismo descritto sopra, con una differenza sostanziale: l'apparecchio che chiede il permesso di collegarsi non è la smart TV della vittima, è il server del criminale. La pagina malevola presentava prima diversi test CAPTCHA, che avevano probabilmente la funzione di tenere fuori i crawler delle soluzioni di sicurezza. Superati quei controlli, la vittima arrivava a una schermata che la invitava a copiare un codice per accedere ai documenti. Quel codice era lo stesso codice breve del flusso legittimo, che il server dell'attaccante si era già fatto generare da Microsoft fingendosi un normale dispositivo da collegare.

Il clic lo copiava negli appunti e nello stesso istante portava la vittima sulla vera pagina di accesso di Microsoft, dove le veniva chiesto di incollarlo e confermare. La persona completava così la procedura, inclusa l’eventuale verifica in due passaggi, sul sito autentico, ma il via libera che dava serviva a collegare il dispositivo dell’attaccante al proprio account. A quel punto il cyber criminale riceveva i tre lasciapassare digitali e otteneva mano libera per leggere e inviare email dalla casella della vittima, sottrarre i file su OneDrive e accedere alle conversazioni Teams.

La campagna è durata poco più di un mese, ma il gruppo criminale continua a replicarne il modello adattandolo a specifiche aree geografiche. La ricerca dimostra che la vigilanza va estesa anche alla navigazione su piattaforme ufficiali, come quella Microsoft. Kaspersky raccomanda di non approvare mai una richiesta di autorizzazione Device Authorization Grant che non si è avviata di persona da un dispositivo esterno, e di non inserire un codice di autorizzazione ricevuto tramite email o messaggi inattesi, anche quando il link rimanda a un dominio Microsoft autentico.

Gli attaccanti sfruttano spesso gli open redirect sui domini legittimi, aggiungendo parametri nell’URL che puntano a una destinazione malevola: passare il cursore sul link prima di cliccare aiuta a ispezionare sia il dominio principale sia gli eventuali parametri sospetti, e una volta caricata la pagina, conviene verificare che l'URL finale corrisponda davvero alla risorsa attesa prima di digitare credenziali aziendali.

Alle aziende, i ricercatori suggeriscono di disabilitare il Device Code Flow tramite le policy di Conditional Access di Microsoft Entra ID quando non serve alle attività quotidiane. I team di sicurezza dovrebbero inoltre predisporre un monitoraggio dedicato agli eventi DeviceCodeSignIn, applicare in modo rigoroso gli stati di conformità dei dispositivi e configurare alert per accessi anomali da posizioni inconsuete.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.0 - 4.6.4