Aggiornamenti recenti Febbraio 16th, 2026 2:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Lo shotdown USA tarpa le ali alla CISA
- False estensioni AI su Chrome: rubano API e sessioni
- Effetto Domino: nel 2026 i fornitori sono le vulnerabilità più critiche
- Lummastealer risorge dalle ceneri: ancora una volta lo stop è momentaneo
- ZeroDayRAT: La Nuova Minaccia per Android e iOS
Un gruppo di ricercatori ha violato l’MFA di Microsoft in un’ora
Il team di sicurezza di Oasis ha scoperto una vulnerabilità critica nell’implementazione di Microsoft dell’MFA che consente a un attaccante di ottenere l’accesso all’account di un utente, comprese le email, i file di OneDrive, le chat di Teams e l’ambiente Azure Cloud.
Tal Hason, ricercatore del team, ha spiegato che realizzare l’exploit è stato molto semplice: il gruppo ci ha messo solo un’ora; inoltre, l’exploit non necessita dell’interazione utente e non ha generato alcun avviso di sicurezza per l’account.
Quando l’utente naviga sulla pagina di login dei servizi Microsoft, gli viene assegnato un identificatore di sessione. Tra i metodi MFA supportati da Microsoft, c’è anche l’uso di un’applicazione (un authenticator) che genera un codice di 6 cifre per completare il processo di login. Il meccanismo supporta fino a 10 tentativi per una singola sessione, poi blocca l’accesso.
I ricercatori di Oasis hanno creato in poco tempo nuove sessioni per gli account e liste di codici; il numero elevato di tentativi ha esaurito il numero di opzioni per un codice a 6 cifre (1 milione di possibilità). Il team ha eseguito numerosi tentativi contemporaneamente e per di più i proprietari degli account non hanno ricevuto alcun avviso per il numero di tentativi falliti.
Un altro aspetto da tenere in considerazione è che il codice TOTP generato è valido per più di 30 secondi, l’impostazione base per applicazioni di autenticazione di questo tipo. I test di Oasis hanno dimostrato che nel caso di Microsoft, la tolleranza era di circa 3 minuti per ogni singolo codice; ciò permette di eseguire un numero di tentativi 6 volte superiore alla norma.
“Dato il tasso consentito, avevamo il 3% di possibilità di indovinare il codice entro l’intervallo di tempo esteso“ ha spiegato Hason. “Dopo 24 sessioni di questo tipo (circa 70 minuti), un attaccante avrebbe già superato il 50% di probabilità di ottenere un codice valido“. Il team ha infatti applicato questo exploit con successo diverse volte.
Dopo la scoperta della falla, Oasis ha contattato subito Microsoft e le due compagnie hanno collaborato per risolvere il problema. “Anche se i dettagli specifici delle modifiche sono confidenziali, possiamo confermare che Microsoft ha introdotto un limite più stringente ch entra in gioco dopo un certo numero di tentativi falliti; il limite dura circa mezza giornata” ha spiegato Hason.
Il team ha infine ricordato le buone pratiche per proteggersi dagli attacchi di furto di account, a cominciare dall’abilitazione dell’MFA per tutti gli utenti, soprattutto quelli con accesso ai dati critici. Oltre a ciò, è necessario cambiare regolarmente la password e implementare meccanismi di alerting di accesso all’account che mettano in evidenza gli avvisi di accessi effettuati correttamente.
Condividi l'articolo
Cybersecurity in Italia: cresce la sensibilità al tema, ma serve investire nella formazione
ESET scopre il primo bootkit UEFI per Linux
Articoli correlati
Altro in questa categoria
Approfondimenti
-
TrendAI: il 2026 sarà l’anno... L’intelligenza artificiale automatizzerà... -
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Lo shotdown USA tarpa le ali alla CISA Il blocco delle attività del Department of Homeland... -
False estensioni AI su Chrome: rubano API e sessioni Un’inquietante campagna di cyberspionaggio ha colpito... -
Effetto Domino: nel 2026 i fornitori sono le vulnerabilità... Nell’ultimo High-Tech Crime Trends Report 2026 realizzato... -
Lummastealer risorge dalle ceneri: ancora una volta lo stop... L’ecosistema del cybercrime dimostra ancora una volta... -
ZeroDayRAT: La Nuova Minaccia per Android e iOS I ricercatori di iVerify, un’azienda specializzata in...
Ransomware: la serie
No posts found.