Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido.

Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per far dialogare i due mondi si usa Entra Connect (un software che sincronizza utenti, gruppi e certi attributi), e si costruiscono fiducia e deleghe fra i servizi locali (es. Exchange Server) e quelli cloud (Exchange Online, SharePoint). Se quel canale di sincronizzazione o i relativi account di servizio sono compromessi o male configurati, l’attaccante non deve “bucare” direttamente l’MFA dell’utente: può invece generare token, modificare attributi o sfruttare meccanismi di delega per impersonare utenti o amministratori. Così facendo ottiene accesso a caselle, documenti e funzioni amministrative senza la tipica interazione che triggera gli alert.

Cosa è emerso dalla dimostrazione, a livello concettuale? Ci sono tre leve principali che rendono pericolosa la configurazione ibrida quando non è sufficientemente durificata. Primo: credenziali o chiavi legate al server di sincronizzazione possono essere usate per emettere token validi verso Entra ID, aggirando controlli come la MFA che si applica agli accessi “interattivi”. Secondo: il meccanismo di “soft matching” — che associa account cloud e on-premise usando alcuni attributi — può essere manipolato per convertire un account cloud in uno ibrido o per far “apparire” un account come appartenente a chi ha privilegi. Terzo: alcune interazioni fra Exchange ibrido e i token di servizio permettono operazioni continuative (service-to-service) che non sono tracciate con lo stesso livello di dettaglio degli login utente e che possono portare a accessi invisibili a mailbox e risorse. La combinazione di questi fattori dà a un attaccante la possibilità di muoversi lateralmente e ottenere privilegi molto alti.

L’impatto pratico non è teorico: gli esperti sul campo e gli organismi di sicurezza hanno subito emesso avvisi, e Microsoft e le agenzie di cybersicurezza raccomandano interventi urgenti per chi opera in scenari ibridi. In termini concreti, un avversario che sfrutti questi limiti può leggere ed esportare mail, modificare password, impersonare amministratori e accedere a risorse sensibili nel cloud pur partendo da un punto d’appoggio relativamente “basso”. Per questo Microsoft e CERT e altri centri nazionali hanno pubblicato advisories e aggiornamenti per ridurre la superficie d’attacco.

Quindi: cosa fare subito (senza entrare nel dettaglio operativo che aiuterebbe un attaccante)? Prima regola, patchare e aggiornare Entra Connect e i server Exchange secondo le indicazioni ufficiali: Microsoft ha già rilasciato raccomandazioni e aggiornamenti di hardening che devono essere applicati tempestivamente. Seconda regola, ridurre i privilegi del servizio di sincronizzazione al minimo necessario e conservare chiavi e segreti in hardware sicuro (HSM, o almeno vault con rotazione e auditing). Terza regola, disabilitare o limitare le modalità di “soft matching” quando possibile e rivedere le policy che consentono token con claim di delega estesa; in pratica, rendere più stringenti le regole che legano un token al contesto operativo e all’identità effettiva. Infine, aumentare il monitoring: cercare segnali non convenzionali (token rilasciati a orari non coerenti, attività administrative provenienti da computer di sincronizzazione, accessi a caselle che non hanno corrispondenza con login interattivi). Queste raccomandazioni sono quelle suggerite dalle analisi del talk e dalle linee guida Microsoft.

Per i lettori meno tecnici: immaginate Entra Connect come il postino che consegna rubriche e chiavi fra il palazzo azienda e il cloud. Se quel postino ha una copia di tutte le chiavi e nessuno controlla come le usa, chiunque entri nella sua borsa può aprire porte in entrambi i mondi. Il punto non è demonizzare il cloud o i servizi ibridi — che portano indubbi vantaggi — ma trattare la sincronizzazione, le chiavi e i token con la stessa paranoia con cui si protegge il data center fisico: accesso controllato, chiavi sotto serratura hardware, rotazione periodica e log di tutte le consegne.

Un ultimo punto politico-operativo: la scoperta e la demo a Black Hat sono un promemoria che la superficie di attacco nelle infrastrutture ibride è reale e che la sicurezza non è “solo” patching applicativo, ma una combinazione di architettura, controllo dei privilegi, gestione dei segreti e telemetria intelligente. Se siete responsabili di sistemi ibridi, non aspettate: verificate la policy di provisioning delle identità, fate un inventario dei service account usati per la sincronizzazione, applicate gli aggiornamenti critici e mettete in campo il monitoraggio che possa correlare token, operazioni administrative e accessi ai dati. L’ecosistema è in evoluzione, e questa dimostrazione non è un alibi per allarmismi: è invece una chiamata all’azione concreta, perché prevenire è molto meno costoso e molto meno imbarazzante che reagire a una compromissione.