Domenica 05 Luglio 2026 05:35:51 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Sicurezza Cloud, SaaS e Identity

81 milioni di tentativi di accesso contro Azure CLI - e i team identity ne pagano il prezzo

Pubblicato: 01 Luglio 2026 10:09Categoria: Sicurezza Cloud, SaaS e IdentityArea: North America / USAAutore: SHADOWFIREWALL

Una massiccia ondata di password spraying contro gli strumenti cloud a riga di comando di Microsoft mostra perché l'autenticazione, non il codice, è spesso il vero campo di battaglia nei moderni attacchi cloud.

Quando gli aggressori prendono di mira Azure CLI, non stanno necessariamente cercando un bug software. Puntano al livello identity dietro l'amministrazione cloud, dove una singola password convalidata può diventare il primo punto d'appoggio in un ambiente molto più ampio. In questo caso, sono stati osservati oltre 81 milioni di tentativi di accesso, con traffico proveniente da sistemi associati a LSHIY. Quel volume ricorda che l'abuso del cloud può essere industrializzato ben prima che una violazione diventi visibile.

Dati rapidi

  • Nel corso di una campagna di password spraying che ha preso di mira Azure CLI sono stati osservati oltre 81 milioni di tentativi di accesso.
  • L'attività ha avuto origine da sistemi associati a LSHIY.
  • L'autenticazione di Azure CLI rientra nei controlli identity di Microsoft Entra, non al di fuori di essi.
  • Il password spraying di solito prova un piccolo numero di password comuni su molti account per evitare i blocchi.
  • Le informazioni pubbliche non stabiliscono un compromesso riuscito, furto di dati o impatto a valle.

Cosa suggerisce il modello di attacco

Il password spraying è una tecnica di accesso alle credenziali pensata per operare su larga scala. Invece di martellare un singolo account finché non si blocca, gli aggressori testano poche password su molte identità. Questo rende il rumore più difficile da notare e aumenta le probabilità di trovare un account debole. Negli ambienti cloud, questo è importante perché un login convalidato può aprire la porta a strumenti di amministrazione, flussi di lavoro di automazione e risorse a livello di subscription.

Azure CLI è particolarmente sensibile perché viene utilizzato sia dagli operatori sia dai sistemi di automazione. Microsoft documenta diversi percorsi di autenticazione, tra cui l'accesso interattivo dell'utente, i service principal e le managed identity. Dal punto di vista difensivo, ciò significa che l'attacco va inteso soprattutto come una pressione sul piano identity di Microsoft Entra, non come prova che la CLI sia compromessa.

Anche il dettaglio sull'origine richiede cautela. I sistemi associati a un provider di hosting possono essere utili per la mitigazione, la correlazione e la risposta agli abusi, ma l'associazione dell'infrastruttura non prova chi abbia lanciato il traffico. Le informazioni disponibili supportano una corretta igiene dell'attribuzione, non la certezza dell'attribuzione.

Una sfumatura importante è che il monitoraggio del password spraying riguarda spesso la convalida riuscita delle credenziali, non solo i tentativi falliti. Per questo i log, i segnali sugli IP a rischio e i pattern di accesso sono fondamentali. Un difensore che guarda solo ai blocchi potrebbe perdere la forma complessiva della campagna.

Perché è importante per i difensori cloud

La lezione pratica è semplice: se l'accesso ad Azure CLI dipende ancora dalle password degli utenti, la superficie di attacco è troppo ampia. Microsoft afferma che l'MFA sarà richiesto per le identità utente di Azure CLI a partire da settembre 2025 e raccomanda identità di workload come service principal o managed identity per l'automazione. Questo cambiamento non è solo estetico. Riduce la probabilità che una password passata con spray diventi un punto d'appoggio amministrativo.

Per i team di sicurezza, la risposta migliore è stratificata: richiedere MFA, spostare gli script lontano dalle credenziali utente, monitorare i fallimenti ripetuti a intervalli regolari e correlare i log di accesso con l'attività post-autenticazione. Se uno spray viene confermato, cercare reset degli account, logon bloccati e comportamenti sospetti dopo l'accesso invece di presumere che la storia finisca alla pagina di autenticazione.

Al momento della stesura, le informazioni pubbliche non hanno ancora stabilito completamente la causa tecnica principale, l'ambito completo degli utenti interessati o se eventuali sistemi a valle siano stati compromessi.

Conclusione

Questo episodio riguarda meno uno strumento singolo e più una debolezza familiare: l'identity su larga scala è attraente per gli aggressori perché può essere automatizzata, ripetuta e nascosta nel rumore normale degli accessi. Nelle operazioni cloud, il perimetro più solido non è più un confine di rete. È un'autenticazione disciplinata, credenziali a vita breve e un rilevamento rapido quando il grafico degli accessi inizia a sembrare anomalo.

TECHCROOK

Chiave di sicurezza hardware: Una piccola chiave di sicurezza FIDO2 è un modo pratico per rafforzare l'MFA per account cloud e amministrativi. Aggiunge un secondo fattore fisico per gli accessi e funziona bene per i team che necessitano di una protezione più forte rispetto alle sole password. Utile per Microsoft Entra, Azure e altri servizi che supportano passkey o autenticazione basata su hardware.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Password spray: Un attacco che prova una o poche password comuni su molti account per evitare i blocchi.
  • Azure CLI: L'interfaccia a riga di comando di Microsoft per gestire risorse e subscription di Azure.
  • Microsoft Entra ID: La piattaforma di identity di Microsoft usata per l'autenticazione e il controllo degli accessi in Azure.
  • Managed identity: Un metodo di autenticazione Azure per app e servizi che evita di memorizzare password.
  • Service principal: Un'identità non umana usata da applicazioni e automazione per accedere alle risorse Azure.