Nel mondo della sicurezza informatica, le organizzazioni si affidano sempre di più agli ambienti cloud, come Microsoft 365, per la collaborazione quotidiana.

Questa centralità operativa rende la piattaforma un obiettivo privilegiato per attacchi sempre più sofisticati.

Partendo da questo scenario, molti red team hanno sviluppato i propri toolkit progettati per valutare la sicurezza degli ambienti Microsoft 365 ed individuare potenziali vettori di abuso.

La maggior parte dei toolkit sviluppati fin ora si basa su una tecnica nota come phishing di token di autenticazione, una strategia già ampiamente adottata anche da attori malevoli reali.

A differenza del phishing tradizionale, l’obiettivo non è sottrarre password, ma ottenere tramite l'inganno l’autorizzazione OAuth necessaria per accedere alle risorse dell’utente.

Componenti principali

Negli ultimi anni si è affermato un modello ricorrente nei toolkit utilizzati per simulare o analizzare attacchi OAuth‑based. Pur con varianti e implementazioni differenti, il loro funzionamento ruota in genere attorno a tre componenti principali:

1. Endpoint di phishing, l’abuso della schermata di login

   In questo tipo di attacco, l’utente non inserisce alcuna password in una pagina falsa.

   L’autenticazione avviene infatti sui server legittimi del provider (Microsoft, Google, ecc.).

   L’inganno si concentra invece sulla schermata di login OAuth, che viene presentata in modo convincente affinché l’utente autorizzi un’applicazione controllata dall’attaccante.

   Una volta concesso il consenso, l’attore ottiene un authorization code (OTP) o direttamente un access token, che gli consente di agire a nome dell’utente entro i limiti dei permessi approvati.

   
   

2. Servizio di backend, lo sfruttamento dei permessi concessi

   Il backend del toolkit scambia l’authorization code per i token necessari, come l'access token o il refresh token e li utilizza per interagire con le API cloud, ad esempio Microsoft Graph.

   Le operazioni eseguibili dipendono strettamente dai permessi OAuth concessi: lettura della posta, accesso ai file, creazione di regole di inoltro, consultazione delle attività.

   Non si tratta di una compromissione delle credenziali, bensì dell’abuso di autorizzazioni legittime ottenute in modo ingannevole.

   
   

3. Interfaccia di gestione, la visualizzazione e l’uso dei dati ottenuti

   La terza componente è un pannello web che permette di centralizzare le informazioni ricavate tramite le API cloud: email, file, log delle attività e via dicendo.

   Dal pannello è possibile monitorare lo stato dei token, automatizzare analisi e simulare scenari d’attacco basati sugli stessi privilegi che un utente ha involontariamente concesso.

Perchè il modello funziona?

Questa tipologia di phishing aggira gran parte dei controlli tradizionali per una serie di motivi:

• l’autenticazione avviene realmente sul provider cloud;

• funziona anche in presenza di MFA;

• non viene mai richiesta né intercettata la password dell’utente;

• il flusso sfrutta meccanismi OAuth del tutto legittimi e concepiti per l’uso normale delle applicazioni.

Di conseguenza, il punto debole non è più la credenziale in sé, ma il consenso applicativo concesso dall’utente.

Funzionalità chiave osservate in questo tipo di toolkit

I toolkit includono funzionalità che evidenziano l’impatto dell’abuso dei permessi applicativi. Le capacità effettive dipendono dai privilegi dell’account della vittima e dai permessi OAuth concessi. Tra le funzionalità più comuni:

• Ricerca all’interno delle mailbox

  Permette di interrogare le caselle di posta per individuare messaggi in base a criteri specifici, evidenziando come l’accesso applicativo possa esporre dati sensibili senza compromettere le credenziali.

  
  

• Creazione o modifica di regole di posta

  Alcuni permessi OAuth consentono di gestire regole della mailbox, mostrando come l’abuso del consenso possa influire sulla sicurezza e sulla riservatezza della comunicazione interna.

  
  

• Accesso a file in OneDrive o SharePoint:

  Con privilegi adeguati, è possibile consultare ed estrarre file archiviati nei servizi cloud dell’organizzazione, evidenziando come un modello di consenso troppo permissivo possa compromettere classificazione e protezione dei dati.

  
  

•  Modifica di documenti archiviati nel cloud:

  Alcuni toolkit permettono di alterare file Office presenti su OneDrive o SharePoint, evidenziando il rischio di compromissione dell’integrità dei dati oltre che della loro riservatezza.

  
  

Outsourcing e sicurezza: come i blackout cloud del 2025 evidenziano vulnerabilità critiche

Affidarsi all’outsourcing e ai servizi cloud semplifica molte operazioni, ma introduce vulnerabilità significative per la sicurezza dei dati e la continuità operativa.

Nel 2025, ad esempio, Amazon Web Services (AWS) ha subito un blackout globale che ha interrotto l’accesso a numerosi servizi critici, mentre Microsoft Azure ha registrato un’interruzione legata a errori di configurazione che ha compromesso l’operatività di piattaforme aziendali.

Questi eventi mostrano come dipendere da provider esterni possa esporre le organizzazioni a rischi quali perdita temporanea di controllo sui dati, indisponibilità dei sistemi e violazione di policy interne di sicurezza.

In contesti in cui la protezione di informazioni sensibili è fondamentale, un modello di outsourcing non gestito correttamente può amplificare le vulnerabilità già presenti, rendendo ancora più critico il monitoraggio dei permessi applicativi e del consenso degli utenti.

Conclusione

L’evoluzione dei servizi cloud ha reso piattaforme come Microsoft 365 centrali per la produttività aziendale, ma ha anche introdotto nuove sfide di sicurezza.

La diffusione di toolkit basati su phishing OAuth dimostra come l’abuso di permessi applicativi possa esporre dati sensibili, compromettendo mailbox, file e regole di comunicazione senza accedere alle credenziali dell’utente.

Allo stesso modo, l’outsourcing verso provider cloud esterni, pur comodo e scalabile, comporta rischi concreti: blackout come quelli di AWS e Azure nel 2025 hanno evidenziato come la dipendenza da terzi possa compromettere disponibilità e continuità operativa.

La protezione efficace richiede un approccio integrato: controllo rigoroso dei permessi e dei consensi applicativi, monitoraggio continuo delle attività in cloud e politiche di resilienza che limitino l’impatto di eventuali interruzioni o abusi.

Solo combinando consapevolezza dei rischi e strumenti di difesa adeguati è possibile sfruttare i vantaggi del cloud senza mettere a rischio la sicurezza aziendale.