Negli ultimi mesi sono emerse vulnerabilità che consentono agli hacker di accedere a chat, email e dati riservati delle aziende sfruttando i token di accesso di Microsoft Teams e altri servizi collegati. I cybercriminali usano tecniche sofisticate, come phishing, social engineering, malware e sfruttamento di configurazioni errate delle app, per rubare questi token e impersonare utenti legittimi, inclusi gli amministratori. Questo può portare a furti di dati, compromissione di account, escalation dei privilegi e sincronizzazione malevola con servizi come OneDrive e SharePoint.
Proteggi la tua azienda: aggiorna Teams e gli altri strumenti Microsoft, attiva un’autenticazione a più fattori robusta, addestra i dipendenti a riconoscere tentativi di phishing e monitora regolarmente accessi e permessi.
Accesso non autorizzato a Teams: perché è un problema critico
Microsoft Teams è diventato uno degli strumenti di collaborazione più usati al mondo. Milioni di aziende e pubbliche amministrazioni si affidano a Teams per chat, videochiamate e condivisione di file sensibili. Questo lo rende un obiettivo privilegiato per attacchi informatici, come dimostrano le campagne recenti condotte da gruppi specializzati in cybercrime.
Nel 2025, Microsoft e numerose società di sicurezza hanno osservato campagne in cui criminali informatici sfruttano vulnerabilità di Teams e manipolano i token di accesso ― ovvero le “chiavi digitali” che permettono agli utenti di autenticarsi senza dover inserire la password ogni volta. Chi ottiene questi token, tramite phishing, XSS (cross-site scripting), malware o configurazioni errate delle app, può impersonare la vittima, accedere alle chat, leggere e scaricare file, oppure diffondere malware verso altri utenti della stessa organizzazione.
Come si accede alle chat tramite token di Teams
Gli attaccanti utilizzano diversi vettori:
- Furto di credenziali tramite phishing: e-mail o messaggi ingannevoli che inducono la vittima a consegnare le proprie credenziali o ad approvare richieste di accesso, spesso camuffate da notifiche reali di Teams o Microsoft 365.
- Malware distribuito tramite link o allegati in chat: file dannosi mascherati da documenti o aggiornamenti che, una volta eseguiti, permettono l’esfiltrazione di token d’accesso, anche grazie a strumenti come TeamsPhisher e DarkGate.
- Sfruttamento di vulnerabilità nelle app Teams: alcune app o componenti integrabili presentano configurazioni troppo permissive (ad esempio, liste di domini validi troppo ampie o privilegi eccessivi, come la modalità “isFullTrust”). Questo consente a domini compromessi o ingannevoli di comunicare con Teams e ottenere token di autenticazione.
- Attacchi di social engineering avanzati: inganni anche tramite chiamate (voice phishing o “vishing”), dove gli hacker si fingono clienti, fornitori o membri dell’help desk per convincere la vittima a scaricare strumenti di controllo remoto come AnyDesk.
Questi metodi, spesso usati in combinazione, creano una catena di compromissione che può essere difficile da rilevare tempestivamente.
Esempi pratici di attacco
1. TeamPhisher e DarkGate
Attori come Storm-1674 hanno usato strumenti specializzati per inviare richieste di accesso o file dannosi direttamente tramite Teams, sfruttando anche correlazioni di fiducia tra personale interno, fornitori o partner.
2. App Teams con permessi eccessivi
Microsoft ha rilevato vulnerabilità nei manifest delle app (cioè nei file che regolano i privilegi delle applicazioni integrate): domini wildcard come *.sharepoint.com o *.powerapps.com possono involontariamente accettare anche domini compromessi. Attaccanti possono così inviare comandi alle finestre di Teams tramite postMessage(), e ricevere indietro token di accesso.
3. Phishing mirato su Teams e MFA bypass
Il gruppo Octo Tempest e altri attori hanno affinato tecniche per aggirare la multi-factor authentication (MFA), ad esempio tempestando la vittima di richieste MFA fino a che non ne accetta una per errore (“MFA fatigue”), oppure convincendo l’help desk a modificare i recapiti di sicurezza per poter intercettare i codici di verifica.
4. Esfiltrazione di dati tramite API Graph
Strumenti come GraphRunner e TeamFiltration sfruttano le API di Microsoft Graph — utilizzate per gestire chat, documenti e permessi — per esplorare tutte le conversazioni, recuperare dati sensibili e scaricare file associati agli utenti compromessi. Se un token d’accesso valido viene sottratto, l’attaccante può agire indisturbato fino a revoca o scadenza.
Quali account e dati sono in pericolo
Gli obiettivi preferiti sono:
- Account amministrativi, che consentono movimenti laterali e manipolazione di permessi su larga scala.
- Utenti con accesso a informazioni riservate o canali condivisi tra aziende diverse (“guest access”), soprattutto in presenza di federazione tra domini (collaborazioni tra società via Azure AD).
- Team, canali e chat che contengono documenti strategici, credenziali, dati personali, oppure informazioni utili per avanzare nell’attacco (ad esempio, dettagli su infrastrutture IT, procedure di emergenza, dati finanziari).
Ma le campagne recenti dimostrano che anche utenti comuni vengono presi di mira per scalare i privilegi (“privilege escalation”) e ottenere un punto d’ingresso nel perimetro aziendale.
Tecniche di esfiltrazione e comando: come avvengono gli attacchi avanzati
Una volta ottenuto l’accesso, i cybercriminali possono:
- Usare Teams come canale di comando e controllo (“C2”), occultando lo scambio di dati tra sistemi compromessi nei normali flussi di comunicazione aziendale.
- Esfiltrare dati (chat, file, contatti) verso domini esterni, magari mascherati da normali sincronizzazioni con OneDrive o SharePoint aziendali.
- Impersonare utenti per convincere altri colleghi a scaricare malware, concedere accessi o condividere documenti riservati.
- Iniettare codice dannoso tramite vulnerabilità XSS od operazioni di condivisione durante i meeting Teams (“App Share manipulation”), ottenendo esecuzione remota di codice anche senza alcun clic della vittima (zero-click XSS).
Alcune vulnerabilità critiche note dal 2024-2025
- CVE-2025-49731: consente a un attaccante autenticato di elevare i privilegi su Teams tramite sfruttamento di permessi inadeguati.
- CVE-2025-53783: permette l’esecuzione di codice remoto su Teams, aprendo la strada a compromissioni estese con semplice invio di dati artefatti.
- Zero-day di agosto 2025: una vulnerabilità non identificata e già sfruttata in ambiente reale, che dimostra come le piattaforme di comunicazione siano un bersaglio attivo ed evoluto anche per la criminalità organizzata.
Perché Teams è un obiettivo così… strategico?
Il successo di Teams come piattaforma aziendale ha un rovescio della medaglia: la fiducia attribuita agli strumenti di comunicazione viene sfruttata dagli attaccanti, i quali puntano su:
- Distribuzione capillare: quasi tutte le aziende utilizzano Teams, rendendo le campagne di phishing e malware molto più efficaci
- Tanti plugin e applicazioni: ogni ulteriore app integrata rappresenta una possibile via d’ingresso, soprattutto se le policy di sicurezza non vengono costantemente aggiornate e monitorate
- Uso federato e apertura verso l’esterno: la facilità di collaborare con team esterni, fornitori o clienti rende più difficile gestire permessi e rischi
Limiti delle contromisure tradizionali
L’adozione della multi-factor authentication (MFA) costituisce un importante baluardo, ma non sufficiente: molte campagne hanno dimostrato che MFA può essere aggirata tramite frodi o errori umani. Inoltre, la revoca dei token compromessi può richiedere tempo. I log e i sistemi di monitoraggio spesso fanno fatica a distinguere accessi legittimi da compromissioni ben mascherate, specie se l’attacco avviene tramite account effettivamente autorizzati.
Cosa fare subito: consigli pratici
Aggiorna costantemente Teams e tutte le app Microsoft per beneficiare delle patch di sicurezza più recenti.
Abilita solo le app strettamente necessarie, controllando il campo dei domini autorizzati nel manifest: evitare wildcard troppo ampie che potrebbero accettare sottodomini compromessi.
Implementa controlli di sicurezza addizionali, come Content Security Policy (CSP) che limita dove le app possono essere caricate (soprattutto per iframe e script esterni).
Forma regolarmente il personale, affinché sappia riconoscere comportamenti anomali, tentativi di phishing specifici su Teams e richieste sospette di MFA o accesso remoto.
Monitora i log di autenticazione e accesso: usa strumenti di SIEM per evidenziare attività anomale, tentativi ripetuti di MFA e accessi da località insolite.
Effettua regolari audit dei permessi utenti, specialmente degli amministratori e rivedi periodicamente la lista degli accessi guest federati.
Pianifica esercitazioni di incident response simulate su scenari di compromissione Teams, per essere pronti a revocare token, bloccare account e contenere rapidamente l’incidente.
Cosa fare nel lungo periodo: strategie avanzate
Implementa autenticazione “nested” in Azure AD: isola i flussi di token delle app Teams, limitando la possibilità che escano dal contesto di utilizzo previsto.
Limita l’uso del flag “isFullTrust” nelle manifest delle applicazioni Teams e impone policy di revisione continua delle app di terze parti introdotte nell’ecosistema aziendale.
Valuta l’adozione di strumenti avanzati di rilevamento comportamentale, non solo signature-based ma anche con AI/ML capaci di identificare pattern anomali nell’uso di Teams rispetto a baseline individuali e di gruppo.
Prevedi un piano strutturato di revoca e rotazione periodica dei token: non aspettare la scadenza naturale o l’incidente, ma imposta “token refresh” regolari e campionamenti sugli accessi effettivi.
Integra i canali Teams nel perimetro di sorveglianza della cyber threat intelligence aziendale, così da ricevere avvisi su campagne emergenti che potrebbero riguardare l’organizzazione.
Incorpora la sicurezza delle chat/meeting nella policy di data governance, considerando anche la minimizzazione dei dati scambiati via Teams e la segmentazione interna dei permessi di accesso alle conversazioni e ai file.
Proteggere Teams oggi, significa proteggere la propria azienda, i dati sensibili e la reputazione: la sicurezza non può più essere considerata un optional.
