Hacker Microsoft Entra ID: come Storm-2949 ha colpito

Articolo Aggiornato il 19/05/2026 da Francesco Polimeni

Hacker Microsoft Entra ID | Il 18 maggio 2026, Microsoft Threat Intelligence ha pubblicato i dettagli di uno degli attacchi cloud piu’ metodici documentati negli ultimi anni. Il gruppo tracciato come Storm-2949 ha trasformato un singolo account compromesso in una violazione totale dell’infrastruttura cloud di un’organizzazione enterprise: dati esfiltrati da Microsoft 365, segreti estratti da Azure Key Vault, macchine virtuali compromesse, database SQL aperti. Tutto senza distribuire un solo file di malware nel senso tradizionale.

Se la tua organizzazione usa Microsoft 365 o ha workload su Azure, quello che ha subito questa azienda potrebbe riguardarti direttamente — non come scenario ipotetico, ma come vettore d’attacco attivo e documentato.

Come gli hacker di Storm-2949 sono entrati: social engineering sul reset password

Il punto d’ingresso non e’ stato un exploit zero-day, una vulnerabilita’ nel kernel o un attacco brute-force. Storm-2949 ha sfruttato qualcosa di molto piu’ sottile: il processo di Self-Service Password Reset (SSPR) di Microsoft Entra ID, abbinato a una telefonata di social engineering.

Lo schema operativo e’ questo: l’attaccante avvia il processo di reset password per conto di un utente target. A quel punto contatta la vittima spacciandosi per il supporto IT interno, comunicando che “il suo account richiede una verifica urgente” e che deve approvare alcune notifiche MFA come parte di una procedura ordinaria. L’utente, convinto di stare collaborando con il proprio ufficio tecnico, approva i prompt. L’hacker ottiene l’accesso.

Non e’ una tecnica nuova, ma la sua efficacia su ambienti Microsoft 365 ad alto privilegio — dove gli utenti sono abituati a ricevere notifiche MFA per le operazioni piu’ disparate — e’ sistematicamente sottovalutata. Il problema non e’ la tecnologia. E’ che la tecnologia e’ stata progettata per essere conveniente, e la convenienza e’ il vettore d’attacco preferito da chi sa come sfruttarla.

Per saperne di piu sul Social Engineering https://www.it-impresa.it/blog/social-engineering/

Cosa e’ successo dopo l’accesso: una mappa dell’escalation

Una volta dentro, Storm-2949 non si e’ limitato a raccogliere email. Ha condotto un’esplorazione sistematica dell’intero tenant, e la sequenza di operazioni racconta molto su quanto sia cambiato il paradigma degli attacchi cloud.

Discovery e mapping dei privilegi

I primi comandi eseguiti tramite uno script Python custom hanno interrogato la Microsoft Graph API per enumerare utenti, applicazioni e service principal nell’ambiente Entra ID. L’obiettivo era identificare gli account con ruoli privilegiati e mappare i percorsi disponibili per l’espansione dell’accesso — una fase di ricognizione identica a quelle condotte in penetration test professionali, con la differenza che nessuno in quel momento sapeva che stava accadendo.

Esfilazione massiva da Microsoft 365

Con le credenziali compromesse in mano, il gruppo si e’ concentrato su OneDrive e SharePoint. La priorita’ erano i documenti IT relativi a configurazioni VPN e procedure di accesso remoto — informazioni che avrebbero aperto la strada al movimento laterale verso l’infrastruttura on-premise. In un caso documentato, migliaia di file sono stati scaricati in un’unica sessione dal browser OneDrive verso l’infrastruttura degli attaccanti. Questa operazione e’ stata ripetuta per ogni account compromesso, perche’ identita’ diverse avevano accesso a directory diverse.

Azure Key Vault: quattro minuti per accedere a tutto

Questo e’ il punto piu’ significativo dell’intera catena. Uno degli account compromessi aveva il ruolo di Owner su un Azure Key Vault che conteneva credenziali collegate all’applicazione di produzione principale. Nel giro di quattro minuti, gli attaccanti hanno modificato le impostazioni di accesso al vault e hanno estratto decine di segreti: connection string di database, credenziali di identita’, parametri di configurazione. Quei segreti hanno aperto l’accesso all’applicazione web principale, di cui hanno poi cambiato la password per mantenere il controllo.

Azure SQL e Virtual Machine: gli ultimi strati

Per raggiungere i server SQL, Storm-2949 ha modificato le regole firewall attraverso l’operazione microsoft.sql/servers/firewallrules/write, poi si e’ connesso con le credenziali estratte dal Key Vault. Sulle macchine virtuali ha abusato delle estensioni VMAccess e Run Command per creare account amministratori locali e tentare di sfruttare le managed identity per accedere a ulteriori risorse. Alcune di queste ultime operazioni sono fallite per permessi insufficienti — ma nella ricostruzione dell’attacco e’ un dettaglio secondario rispetto alla portata di cio’ che aveva gia’ sottratto.

Articolo su Azure security https://learn.microsoft.com/it-it/azure/azure-sql/virtual-machines/windows/sql-server-on-azure-vm-iaas-what-is-overview?view=azuresql

Il contesto piu’ ampio: Entra ID sotto attacco sistematico nel 2026

Storm-2949 non e’ un caso isolato. Il 2026 ha registrato una concentrazione inedita di attacchi diretti specificamente verso Microsoft Entra ID come vettore di compromissione cloud.

A febbraio e’ emersa una campagna massiva di device code phishing che ha colpito oltre 340 organizzazioni in cinque paesi, abusando del flusso OAuth per ottenere token persistenti senza mai raccogliere password. Il kit usato — soprannominato EvilTokens — era venduto come servizio in un modello Phishing-as-a-Service, con template che imitavano SharePoint, Adobe Acrobat e DocuSign.

A settembre 2025 era stata invece divulgata e corretta una vulnerabilita’ critica (CVE-2025-55241, score 10.0) nei token “Actor” di Entra ID: un difetto di design nei token legacy permetteva a un attaccante con accesso a qualsiasi tenant — anche creato ad hoc — di autenticarsi come Global Administrator in qualunque altro tenant, senza MFA, senza Conditional Access, senza lasciare tracce nei log della vittima.

C’e’ poi la tecnica “Cookie Bite”, documentata da Varonis: sfruttando due cookie di autenticazione (ESTSAUTH e ESTSAUTHPERSISTENT) rubati da un browser compromesso, un attaccante puo’ mantenere accesso persistente a Microsoft 365 e Azure bypassando completamente l’autenticazione a due fattori.

Il quadro che emerge e’ quello di un ecosistema di identita’ cloud sempre piu’ sotto pressione, dove la superficie d’attacco si e’ spostata dalle vulnerabilita’ di sistema alla logica stessa di come le identita’ vengono gestite e delegate.

Hacker Microsoft Entra ID | Come difendersi concretamente: non basta cambiare la password

La risposta difensiva non puo’ limitarsi alle misure basiche. Storm-2949 operava dentro gli strumenti legittimi di Microsoft — Azure CLI, Graph API, SDK di Storage — rendendo il traffico malevolo quasi indistinguibile da quello amministrativo ordinario.

Le contromisure operative che fanno effettivamente la differenza partono dall’audit continuo delle operazioni sui Key Vault e dai cambiamenti ai ruoli RBAC personalizzati. Vale la pena esaminare qualsiasi modifica alle regole firewall di Azure SQL e qualsiasi aggiunta di credenziali a service principal, specialmente se avvenuta in finestre temporali ristrette o fuori orario lavorativo. I download massivi da OneDrive — migliaia di file in una singola sessione — dovrebbero generare alert automatici, ma in molte organizzazioni questa telemetria non e’ configurata.

Sul fronte dell’identita’, bisogna rivedere chi ha il ruolo Owner su Key Vault che contengono segreti critici. Il principio del minimo privilegio e’ una raccomandazione da anni, ma nella pratica le eccezioni si accumulano e nessuno le rivede sistematicamente.

La formazione anti-social engineering deve includere scenari specifici sulle procedure SSPR e sui prompt MFA: il personale deve sapere che il supporto IT interno non chiede mai di approvare notifiche MFA tramite telefonata non preannunciata.

Articolo sul Vulnerability assesment https://www.osservatori.net/blog/cyber-security/cose-il-vulnerabilty-assesment-la-guida-completa/

Verifica la sicurezza della tua infrastruttura cloud

Polinet S.r.l. opera nel settore della sicurezza e controspionaggio dal 2001. Francesco Polimeni, titolare e specialista TSCM con oltre 20 anni di servizio nelle forze dell’ordine, affianca aziende e professionisti nell’analisi delle minacce reali alle loro infrastrutture — comprese quelle cloud.

Licenza ex Art. 28 T.U.L.P.S. | NATO NCAGE AL332 | Qualificato MEPA/Consip | Presenze TV: Porta a Porta, Matrix

Se sospetti che la tua organizzazione possa essere esposta ad attacchi sulle identita’ cloud, o vuoi una verifica preventiva delle configurazioni Microsoft 365 e Azure, contattaci su spiare.com per una consulenza riservata.

FAQ: hacker Microsoft Entra ID

Come fanno a compromettere un account gli Hacker Microsoft Entra ID?

Le tecniche piu’ comuni includono il social engineering sul processo SSPR (Self-Service Password Reset), il phishing tramite device code OAuth, il furto di token di autenticazione e lo sfruttamento di vulnerabilita’ nei meccanismi legacy. Storm-2949 ha combinato piu’ vettori: social engineering per ottenere le credenziali iniziali, poi escalation di privilegi sfruttando ruoli RBAC personalizzati su Azure.

Microsoft 365 e Azure sono sicuri anche con l’MFA attivo?

L’MFA riduce drasticamente il rischio ma non e’ infallibile. Storm-2949 ha aggirato l’MFA convincendo gli utenti ad approvare prompt legittimi-apparenti durante operazioni di SSPR. Tecniche come il cookie hijacking (“Cookie Bite”) possono inoltre bypassare completamente l’MFA rubando token di sessione gia’ autenticati.

Come posso sapere se un hacker ha gia’ accesso al mio ambiente Azure o Microsoft 365?

Controlla i log di audit di Entra ID cercando: operazioni su Key Vault in finestre temporali anomale, modifiche alle regole firewall di Azure SQL, aggiunta di credenziali a service principal e download massivi da OneDrive o SharePoint. Un’analisi professionale puo’ rilevare attivita’ che i log standard non evidenziano. Contatta il team di spiare.com per una verifica.