I tuoi account Microsoft 365 sono a rischio: hacker usano app false OAuth per accedere senza rubare password. Inizia subito controllando le app connesse nel portale amministratore e revoca quelle sospette: è la soluzione rapida per bloccare minacce persistenti.
La minaccia OAuth spiegata semplicemente
Criminali informatici inviano email o SMS falsi che imitano Microsoft, con avvisi come “account bloccato” o “verifica app”. Il link porta a una pagina legittima dove inserisci credenziali o un codice dispositivo. L’inganno: autorizzi un’app dannosa che ottiene permessi per email, OneDrive, SharePoint e Teams tramite Graph API.
Una volta dentro, l’app usa token OAuth persistenti, validi anche dopo cambio password o MFA. Gli attaccanti leggono dati, creano regole di inoltro nascoste e si muovono nella rete aziendale senza allarmi.
Perché è insidioso
Questo metodo bypassa difese classiche perché l’accesso appare legittimo. Campagne recenti hanno colpito migliaia di account aziendali, rubando documenti sensibili e stabilendo backdoor durature.
Azioni immediate per la sicurezza
– Audit app OAuth: Nel portale Microsoft 365 admin, elenca app connesse, revoca quelle sconosciute.
– Attiva Defender for Cloud Apps: Monitora avvisi su “Mass user OAuth consent” e “New risky OAuth app”.
– Scansiona dispositivi: Usa antimalware su tutti i device per rimuovere minacce correlate.
– Verifica impostazioni: Controlla inoltri email, account collegati e disabilita OAuth inutili.
Prevenzione a lungo termine
Forma il team: Insegna a ignorare richieste di autorizzazione via email; Microsoft non le invia mai.
Accesso condizionale: Limita OAuth per posizione, dispositivo e rischio.
Monitoraggio costante: Imposta alert automatici e rispondi subito.
Autenticazione avanzata: Passa a Windows Hello, Microsoft Authenticator o FIDO2 per ridurre rischi.
Approfondimento tecnico
L’attacco sfrutta il flusso Device Authorization Grant di OAuth 2.0, per dispositivi con input limitato. Ecco i passaggi:
- Hacker registra app Azure con scope ampi (es. Mail.Read, Files.Read.All).
- Phishing invia codice dispositivo.
- Utente inserisce codice su microsoft.com/devicelogin e autorizza.
- Attaccante riceve token accesso e refresh, persistenti oltre MFA/password.
Strumenti come Graphish automatizzano con QR code, accessibili anche a hacker novizi. Per difenderti: Usa query KQL in Log Analytics per scope sospetti da utenti non admin. Monitora autorizzazioni multiple in brevi periodi. Per tenant grandi, automatizza con script e Defender. Controlla app con permessi eccessivi, revoca e segnala come rischiose.
