Sicurezza Microsoft 365: minacce e difesa
La sicurezza di Microsoft 365 riguarda la protezione di identità, email e dati nell'ecosistema cloud Microsoft. La minaccia principale oggi non è la password ma la sessione: gli attacchi AiTM e il furto del token OAuth aggirano l'MFA classico, seguiti da BEC e frodi. La difesa richiede protezione dell'identità post-autenticazione (ITDR), anti-phishing AiTM e detection & response continua sulla piattaforma Defender.
Il perimetro è l’identità
Con Microsoft 365 il dato e l’identità vivono nel cloud: il perimetro non è più la rete, è l’identità (Entra ID, ex Azure AD). Gli attaccanti lo sanno, e hanno smesso di rubare password: rubano sessioni. È il cambio di paradigma che rende l’MFA classico necessario ma non più sufficiente. Difendere M365 significa presidiare quattro superfici che si alimentano a vicenda.
La sessione è la nuova credenziale
Negli attacchi AiTM e nell’abuso del Device Code Flow, l’attaccante cattura il token di sessione dopo l’autenticazione legittima: l’MFA viene completato dall’utente reale, ma la sessione finisce all’attaccante. Non è un MFA bypass nel senso classico, è furto del token di sessione, e proprio per questo non lascia tracce di forza bruta o di login anomalo evidente. Da lì l’attaccante entra in M365 senza far scattare alert, talvolta per settimane.
Il problema non è la password, è la sessione. Quando il token di sessione è valido, l'attaccante usa API e app legittime: agli occhi della piattaforma è l'utente. Per questo la difesa si sposta dopo l'autenticazione, sull'analisi del comportamento della sessione, non solo sul login.
Dal furto di token al BEC
Una volta dentro la mailbox, parte il BEC (Business Email Compromise): l’attaccante legge i thread, crea regole inbox per nascondere le proprie risposte, si inserisce in conversazioni reali e dirotta pagamenti o dati. Tutto con token e API legittime, senza malware: l’endpoint non vede nulla, l’antivirus non ha nulla da segnalare. È una frode che vive interamente nel piano dell’identità e delle email.
Le regole inbox sono il segnale. Una delle prime mosse dopo un furto di sessione è creare regole che spostano o cancellano le email di alert e le risposte sospette. È un indicatore di compromissione che l'endpoint non vede mai: solo la detection sul piano email e identità lo coglie.
Difendere M365 davvero
La protezione di Microsoft 365 si regge su tre leve che vanno operate insieme, non attivate e dimenticate:
- Identità prima di tutto. ITDR sull'identità, Conditional Access basato sul rischio, FIDO2/passkey resistenti al phishing al posto dell'OTP, restrizioni sul Device Code Flow dove non serve.
- Anti-phishing AiTM. Difesa che blocca prima dell'inserimento delle credenziali, con Defender for Office 365 e protezione contro i reverse-proxy.
- Detection & response continua. Correlazione tra identità, email, endpoint e cloud app su Defender XDR e Sentinel, operata da un SOC 24·7 che indaga e contiene, non solo segnala.
Le tre leve da sole sono configurazioni; è la detection & response operata da analisti a trasformarle in difesa reale. Un furto di sessione si ferma quando qualcuno, con il mandato di decidere, revoca i token, isola l’account e taglia la sessione. Il servizio: MDR su Microsoft Defender.
Conoscere come l'avversario ruba la sessione è il primo atto della difesa. Revocarla in tempo è il secondo.
Minaccia M365 → difesa
| Minaccia | Cosa fa | Difesa |
|---|---|---|
| Phishing AiTM | Intercetta credenziali e token in reverse-proxy | Anti-phishing AiTM, FIDO2/passkey |
| Furto token OAuth | Usa la sessione, salta l'MFA | ITDR, anomaly detection post-auth |
| Abuso Device Code Flow | Cattura la sessione dopo l'auth legittima | Conditional Access, blocco device code |
| BEC | Frode via mailbox compromessa | Detection comportamentale, MDR |
L'analisi della piattaforma PhaaS Kali365 (800 domini mappati) mostra come il furto del token OAuth dopo l'autenticazione legittima aggiri l'MFA classico su Microsoft 365: la prova che serve protezione dell'identità post-autenticazione.
Leggi l'analisi →Domande frequenti.
L'MFA basta a proteggere Microsoft 365?
No, non da solo. Gli attacchi AiTM e il furto del token di sessione aggirano l'MFA classico rubando la sessione dopo l'autenticazione. Servono FIDO2/passkey, anti-phishing AiTM e protezione dell'identità post-autenticazione (ITDR).
Cos'è un attacco AiTM su M365?
AiTM (Adversary-in-the-Middle) è un phishing in reverse-proxy che intercetta credenziali e token di sessione in tempo reale, permettendo l'accesso anche con MFA attivo. Vedi protezione phishing AiTM.
Cos'è il BEC (Business Email Compromise)?
È la frode che parte da una mailbox compromessa: l'attaccante legge i thread, si inserisce e dirotta pagamenti o dati. Non usa malware: token e API legittime, quindi l'endpoint non vede nulla.
Cos'è l'abuso del Device Code Flow?
È una tecnica in cui l'attaccante avvia un flusso di autenticazione legittimo di Entra ID e induce la vittima ad approvarlo: ottiene così un token di sessione valido dopo l'autenticazione corretta. Non è un MFA bypass nel senso classico, è furto del token di sessione: l'MFA viene completato dall'utente reale, ma la sessione finisce all'attaccante. Si contiene con Conditional Access e restrizioni sul device code.
Come si protegge Microsoft 365?
Identità (ITDR, Conditional Access, FIDO2), anti-phishing AiTM, e detection & response continua sulla piattaforma Defender e Sentinel operata da un SOC 24·7. Vedi MDR su Microsoft Defender.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: MDR su Microsoft Defender.
Risorse correlate: Protezione phishing AiTM · Protezione identità (ITDR) · Perché la difesa dell'identità (ITDR) · Cos'è un MDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.