Venerdi 26 Giugno 2026 20:06:10 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Consapevolezza della sicurezza e social engineering

Quando la pagina di accesso è reale: il potere silenzioso del phishing con codice dispositivo

16 Giugno 2026 12:48Consapevolezza della sicurezza e social engineeringNord America / Stati UnitiPATCHKNIGHT

Una campagna di phishing rivolta agli utenti di Microsoft 365 mostra come gli aggressori possano abusare di un flusso OAuth legittimo invece di creare una falsa pagina di accesso.

Il phishing non inizia sempre con un sito web contraffatto. In questo caso, l'esca si trova all'interno di un vero percorso di autenticazione Microsoft: l'OAuth 2.0 Device Authorization Grant. Questo è importante perché alla vittima non viene chiesto di fidarsi di un dominio sospetto, ma di completare un passaggio di accesso che sembra un normale accesso Microsoft. Il pericolo non è la pagina in sé. È l'approvazione.

Fatti rapidi

  • La campagna prende di mira utenti aziendali di Microsoft 365.
  • Abusa dell'OAuth 2.0 Device Authorization Grant, noto anche come device code flow.
  • L'obiettivo dell'aggressore è convincere un utente ad autorizzare un dispositivo controllato dall'attaccante.
  • Il passaggio di autenticazione avviene su infrastruttura Microsoft legittima.
  • Microsoft raccomanda di bloccare per impostazione predefinita il device code flow ove le esigenze aziendali lo consentano.

Come funziona l'abuso

Il flusso di autorizzazione del dispositivo è stato creato per dispositivi poco pratici con input limitato, come televisori, stampanti e alcuni strumenti da riga di comando. Invece di digitare direttamente una password sul dispositivo, l'utente approva l'accesso su un secondo dispositivo inserendo un codice. Quel design è legittimo, standardizzato e ampiamente utilizzato. È anche facile da trasformare in un'esca di phishing.

In uno scenario di phishing con codice dispositivo, l'aggressore avvia la richiesta di autorizzazione, quindi convince il bersaglio a completare il passaggio di approvazione. Se l'utente accetta, la sessione controllata dall'aggressore può ricevere token di autorizzazione per Microsoft 365 o per le risorse Entra ID correlate. Il protocollo non ha bisogno di una falsa pagina di accesso per essere pericoloso. Ha bisogno solo di un utente confuso e di un flusso consentito.

Dal punto di vista difensivo, il cambiamento importante è questo: la superficie d'attacco non è più solo posta elettronica, link e domini imitati. Include la policy di identità, la gestione delle eccezioni e il modo in cui i tenant gestiscono l'accesso tra dispositivi. Per questo motivo queste campagne possono sfuggire ai controlli che si concentrano in modo ristretto sullo spoofing delle pagine web.

Perché i difensori dovrebbero preoccuparsi

Il phishing con codice dispositivo può essere più difficile da individuare perché la vittima potrebbe interagire con una vera esperienza di accesso Microsoft. Questo non rende l'attacco invisibile, ma cambia ciò che i team di sicurezza devono monitorare. I log di accesso, l'uso insolito del codice dispositivo e le eccezioni di policy diventano più importanti della sola reputazione dell'URL.

Le indicazioni di Microsoft considerano questo flusso ad alto rischio e consigliano di bloccarlo per impostazione predefinita, consentendolo solo per casi ben delimitati che ne abbiano davvero bisogno. Dove esistono eccezioni, vanno esaminate come qualsiasi altro percorso di accesso privilegiato. Una concessione limitata per un flusso di dispositivo può diventare una porta aperta molto più ampia se non viene monitorata.

Al momento della stesura, le informazioni disponibili supportano un'analisi del rischio, non una conferma di violazione dell'account o una prova verificata di furto di dati. La lezione più importante non è che l'autenticazione Microsoft sia compromessa, ma che l'infrastruttura di identità legittima possa essere riutilizzata quando gli utenti vengono spinti ad approvare la richiesta sbagliata.

Conclusione

Questo caso ricorda che il phishing moderno riguarda sempre più l'abuso della fiducia nei flussi di lavoro, non solo della fiducia nei marchi. Per le organizzazioni che usano Microsoft 365, l'assunto più sicuro è che qualsiasi percorso di autenticazione consentito può diventare un'esca se non è gestito con rigore. La difesa pratica è trattare la policy di identità come una superficie d'attacco, non come un'impostazione di sfondo.

TECHCROOK

chiave di sicurezza hardware: Un piccolo dispositivo USB o NFC che aggiunge un controllo fisico di accesso agli account. Viene comunemente usato per accessi più sicuri a Microsoft 365 e ad altri ambienti aziendali, soprattutto dove l'autenticazione resistente al phishing è una priorità.

Scheda Techcrook: chiave di sicurezza hardware

WIKICROOK

  • OAuth 2.0: Un framework di autorizzazione che consente alle applicazioni di richiedere un accesso limitato alle risorse dell'utente senza gestire direttamente la password.
  • Device Authorization Grant: Un flusso OAuth per dispositivi con input limitato, in cui un dispositivo separato viene usato per approvare l'accesso.
  • Phishing con codice dispositivo: Un attacco di social engineering che inganna l'utente spingendolo a completare un accesso legittimo basato su dispositivo per conto dell'aggressore.
  • Accesso condizionale: Un sistema di policy in Microsoft Entra ID che controlla quando e come gli utenti possono autenticarsi.
  • Token di autorizzazione: Una credenziale rilasciata dopo un accesso riuscito che può concedere l'accesso ai servizi protetti fino alla scadenza o alla revoca.
PATCHKNIGHT
AutorePATCHKNIGHT

Consapevolezza della sicurezza e social engineering