Accesso legacy in Microsoft Entra ID sfruttato per violare gli account cloud

Una falla nell'accesso legacy dell'ID Microsoft Entra ha consentito agli aggressori di aggirare l'MFA, prendendo di mira gli account amministrativi nei settori finanziario, sanitario e tecnologico.

L'azienda di sicurezza informatica Guardz ha scoperto una campagna mirata che sfrutta una debolezza nei protocolli di autenticazione legacy di Microsoft Entra ID, consentendo agli aggressori di aggirare le moderne misure di sicurezza come l'autenticazione a più fattori ( MFA ).

Gli attacchi, verificatisi tra il 18 marzo e il 7 aprile 2025, hanno utilizzato Basic Authentication Version 2 – Resource Owner Password Credential ( BAV2ROPC ), un metodo di accesso legacy, per ottenere un accesso non autorizzato, evidenziando i pericoli di un'autenticazione obsoleta negli ambienti cloud.

Secondo il rapporto di Guardz condiviso con Hackread.com, questa campagna ha preso di mira vari settori, tra cui i servizi finanziari, l'assistenza sanitaria, la produzione e i servizi tecnologici.

Questo incidente segue i diffusi blocchi degli account Microsoft Entra ID segnalati da Hackread.com nell'aprile 2025, causati da un errore interno di Microsoft con i token di aggiornamento e l'app MACE Credential Revocation. Mentre il rapporto di Hackread descriveva dettagliatamente blocchi involontari dovuti a un problema interno, la scoperta di Guardz evidenzia uno sfruttamento deliberato delle vulnerabilità degli ID Entra da parte di malintenzionati.

La Guardz Research Unit (GRU) ha scoperto che gli autori della minaccia stavano sfruttando attivamente BAV2ROPC, una funzionalità di compatibilità all'interno di Entra ID che consente alle applicazioni più vecchie di autenticarsi utilizzando semplici nomi utente e password.

A differenza dei moderni processi di accesso interattivi che richiedono l'autenticazione a più fattori (MFA) e altri controlli di sicurezza, BAV2ROPC opera in modo non interattivo. Questa differenza critica consente agli aggressori di eludere completamente l'autenticazione a più fattori (MFA), le policy di accesso condizionale e persino gli avvisi di accesso e la verifica della presenza dell'utente, rendendo di fatto inutili queste moderne protezioni.

L'attacco si è verificato in due fasi distinte, a partire da una fase di "inizializzazione" tra il 18 e il 20 marzo, caratterizzata da un'intensità di indagine inferiore, con una media di circa 2.709 tentativi di accesso sospetti al giorno.

A questa è seguita una fase di "Attacco Sostenuto", dal 21 marzo al 3 aprile, che ha visto un'impennata dell'attività, con oltre 6.444 tentativi al giorno (un aumento del 138%). Questa escalation indicava un chiaro spostamento verso uno sfruttamento aggressivo delle vulnerabilità identificate.

Guardz Research ha monitorato oltre 9.000 tentativi sospetti di accesso a Exchange, provenienti principalmente dall'Europa orientale e dalla regione Asia-Pacifico. La campagna prevedeva l'uso automatizzato di credenziali spraying e tattiche brute-force, concentrandosi sugli endpoint legacy esposti.

Gli attacchi hanno preso di mira vari vettori di autenticazione legacy, con oltre il 90% di essi indirizzato a Exchange Online e alla Microsoft Authentication Library, con un'attenzione significativa agli account amministratore.

"Gli account amministratore sono stati oggetto di particolare attenzione. Un sottoinsieme ha ricevuto quasi 10.000 tentativi da 432 IP in 8 ore " , ha scritto Elli Shlomo di Guardz nel suo post sul blog .

Sebbene la campagna si sia ormai placata, Guardz avverte che la vulnerabilità persiste in molte organizzazioni che si affidano ancora a protocolli come BAV2ROPC, SMTP AUTH, POP3 e IMAP4 per la compatibilità. Questi metodi bypassano l'autenticazione a più fattori (MFA) , ignorano l'accesso condizionale e abilitano accessi silenziosi e non interattivi, creando così una "backdoor nascosta", hanno osservato i ricercatori.

Dor Eisner, CEO e co-fondatore di Guardz, ha sottolineato la natura critica di questo problema, affermando: "Questa campagna è un campanello d'allarme, non solo per una vulnerabilità, ma per la necessità più ampia di abbandonare le tecnologie obsolete che non sono più adatte all'attuale panorama delle minacce".

Per mitigare i rischi, Guardz esorta le organizzazioni a verificare e disabilitare immediatamente l'autenticazione legacy, applicare l'autenticazione moderna con MFA, implementare policy di accesso condizionale per bloccare i flussi non supportati e monitorare attentamente eventuali attività di accesso insolite.