Microsoft avvisa sull’abuso di Self-Service Password Reset per furti dati su Azure

Microsoft segnala un abuso sistematico del Self-Service Password Reset (SSPR) di Entra ID che consente a un gruppo di attaccanti di rubare dati sensibili da ambienti Microsoft 365 e Azure. Lo stesso periodo vede confermati problemi di Windows Update su reti ristrette o isolate e la responsabilità di un recente aggiornamento di macOS per i pop-up di localizzazione impossibili da chiudere su Teams. Queste tre questioni di sicurezza e usabilità colpiscono contemporaneamente amministratori enterprise, utenti macOS e organizzazioni con infrastrutture protette. Il gruppo di threat actor identificato come Storm-2949 sfrutta ingegneria sociale e il flusso SSPR per prendere il controllo di account privilegiati e accedere a OneDrive, SharePoint, Key Vault, macchine virtuali e database di produzione. Microsoft ha pubblicato un report dettagliato con indicatori di compromissione e raccomandazioni operative. Nello stesso momento l’azienda conferma il bug di download delle patch su reti firewalled e attribuisce il problema Teams a una modifica introdotta da Apple. L’insieme degli eventi dimostra come gli attaccanti moderni sfruttino meccanismi legittimi di reset password mentre vendor e amministratori affrontano contemporaneamente problemi di compatibilità e gestione cross-platform.

Storm-2949 sfrutta il flusso SSPR di Entra ID per compromettere account privilegiati

Secondo il report pubblicato da Microsoft, il gruppo Storm-2949 prende di mira dipendenti con ruoli privilegiati come personale IT, amministratori cloud e dirigenti senior. L’attacco inizia attraverso il flusso di Self-Service Password Reset di Entra ID. Gli attaccanti avviano una procedura di reset password per l’account della vittima e si presentano successivamente come supporto tecnico urgente attraverso telefonate o comunicazioni mirate. Lo scopo consiste nel convincere l’utente ad approvare i prompt MFA generati durante la procedura di recupero account. Una volta ottenuta l’approvazione, il gruppo resetta la password, rimuove i controlli MFA esistenti e registra Microsoft Authenticator sui propri dispositivi controllati dagli attaccanti. Questo accesso iniziale permette la completa enumerazione dell’ambiente aziendale tramite Microsoft Graph API e script Python personalizzati. Gli aggressori esaminano utenti, gruppi, ruoli, applicazioni enterprise e service principal alla ricerca di opportunità di persistenza e privilege escalation. Microsoft evidenzia che il vettore non sfrutta vulnerabilità tecniche tradizionali ma combina ingegneria sociale e meccanismi legittimi di gestione identità, rendendo più difficile l’identificazione immediata delle attività malevole.

Gli attaccanti rubano dati da OneDrive, SharePoint e infrastrutture Azure

Dopo il compromesso iniziale degli account, Storm-2949 accede rapidamente a OneDrive e SharePoint alla ricerca di configurazioni VPN, documentazione operativa IT e file sensibili. In un caso documentato da Microsoft gli attaccanti hanno scaricato migliaia di file attraverso una singola operazione dall’interfaccia web di OneDrive. Il pattern di furto dati si ripete sistematicamente su tutti gli account compromessi poiché identità differenti possiedono accesso a directory e cartelle condivise diverse all’interno dell’organizzazione. L’attacco si espande successivamente all’infrastruttura Azure della vittima coinvolgendo macchine virtuali, storage account, Key Vault, app service e database SQL. Gli aggressori utilizzano i privilegi ottenuti per esplorare la struttura cloud aziendale e identificare asset critici connessi ai workload di produzione. Microsoft segnala che il comportamento del gruppo mostra una chiara conoscenza delle architetture cloud enterprise e delle modalità operative di ambienti Azure complessi. La combinazione tra accesso agli account Microsoft 365 e infrastruttura Azure permette infatti agli attaccanti di ottenere una visibilità quasi completa sulle operazioni IT dell’organizzazione colpita.

Storm-2949 sfrutta ruoli RBAC privilegiati per esfiltrare segreti e database

Una volta all’interno dell’ambiente Azure, Storm-2949 compromette identità con ruoli RBAC altamente privilegiati distribuiti su più sottoscrizioni cloud. Gli attaccanti modificano le impostazioni di accesso dei Key Vault per sottrarre segreti critici come credenziali database, chiavi API e stringhe di connessione utilizzate dalle applicazioni di produzione. Cambiano inoltre regole firewall e configurazioni di rete per storage account e server SQL, recuperano chiavi di storage e token SAS e utilizzano script Python personalizzati per esfiltrare i dati raccolti. Il gruppo sfrutta anche funzionalità di gestione delle macchine virtuali come VMAccess e Run Command per creare account amministratore fittizi, eseguire script remoti e sottrarre ulteriori credenziali direttamente dai sistemi compromessi. Negli stadi più avanzati dell’attacco gli aggressori distribuiscono lo strumento di accesso remoto ScreenConnect, tentano di disabilitare le protezioni di Microsoft Defender e cancellano le tracce forensi presenti nei log. Microsoft utilizza la designazione temporanea “Storm” per indicare attività malevole nuove o ancora in fase di classificazione definitiva. Il report pubblicato dall’azienda include indicatori di compromissione completi e una guida dettagliata di mitigazione per ambienti enterprise Azure e Microsoft 365.

Microsoft raccomanda MFA resistente al phishing e policy least privilege

Per contrastare gli abusi del Self-Service Password Reset, Microsoft raccomanda l’adozione rigorosa del principio di least privilege e l’attivazione di policy di accesso condizionale avanzate. L’azienda invita inoltre le organizzazioni a utilizzare MFA phishing-resistant per tutti gli account privilegiati, limitando la dipendenza dai semplici prompt push facilmente abusabili tramite ingegneria sociale. Gli amministratori devono ridurre le autorizzazioni RBAC in Azure, limitare l’accesso ai Key Vault, disabilitare accessi pubblici non necessari e conservare i log dei vault per almeno un anno. Per la protezione degli storage account Microsoft consiglia di attivare le funzionalità di data protection e monitorare attentamente le operazioni considerate ad alto rischio. Le aziende devono inoltre verificare la presenza di applicazioni registrate sospette, service principal anomali e modifiche inattese ai metodi MFA associati agli account amministrativi. L’adozione di hardware token, autenticazione basata su certificati o Windows Hello for Business rappresenta una misura ulteriore per ridurre il rischio di compromissione tramite approvazione fraudolenta dei prompt MFA. Microsoft sottolinea che la combinazione tra MFA tradizionale e utenti poco preparati continua a rappresentare uno dei punti più vulnerabili degli ambienti cloud enterprise moderni.

Microsoft conferma bug Windows Update su reti isolate e ambienti air-gapped

Parallelamente all’avviso su Storm-2949, Microsoft conferma ufficialmente problemi di Windows Update che colpiscono reti isolate, ambienti air-gapped e infrastrutture fortemente protette da firewall. Dopo l’installazione degli aggiornamenti opzionali non di sicurezza di gennaio 2026, diversi sistemi mostrano l’errore 0x80010002 durante il download delle patch successive. I dispositivi riescono a scaricare correttamente l’aggiornamento di sicurezza di febbraio ma non completano più il download degli update di marzo, aprile e mesi successivi attraverso l’interfaccia standard di Windows Update. Microsoft spiega che il problema deriva da modifiche recenti ai requisiti di timeout del download e non compromette l’integrità del sistema operativo o la capacità di installare aggiornamenti già disponibili localmente. L’azienda sta sviluppando una correzione definitiva ma nel frattempo suggerisce l’utilizzo del Known Issue Rollback (KIR) tramite policy di gruppo specifiche. Per Windows 11 26H1 è disponibile il rollback KB5083806, mentre per Windows 11 24H2, 25H2 e Windows Server 2025 è disponibile il rollback KB5083631. Dopo l’applicazione della policy è necessario riavviare i dispositivi per completare il ripristino del comportamento corretto.

Teams su macOS mostra pop-up di localizzazione causati da un aggiornamento Apple

Microsoft conferma inoltre che i pop-up di localizzazione impossibili da chiudere su Teams derivano da una recente modifica introdotta da Apple in macOS. L’aggiornamento di sicurezza impedisce al sistema operativo di memorizzare correttamente le autorizzazioni di accesso alla posizione richieste da Teams. Gli utenti colpiti visualizzano continuamente prompt che chiedono autorizzazioni GPS e Wi-Fi anche dopo aver selezionato più volte l’opzione “Don’t Allow”. Il problema interessa esclusivamente utenti che hanno attivato i servizi di localizzazione all’interno delle impostazioni di Teams.

Microsoft sta collaborando direttamente con Apple per comprendere le modifiche introdotte nel sistema operativo e sviluppare una soluzione definitiva. Nel frattempo l’azienda valuta anche una possibile correzione interna all’applicazione Teams. Come workaround temporaneo gli utenti devono aprire System Settings > Privacy & Security > Location Services, individuare “Microsoft Teams” e “Microsoft Teams ModuleHost”, disattivare e riattivare manualmente le autorizzazioni e infine reimpostare il comportamento desiderato. Sebbene il bug non rappresenti una vulnerabilità di sicurezza diretta, crea forte disagio operativo soprattutto per gli utenti enterprise che alternano quotidianamente ambienti Windows e macOS.

Le nuove minacce mostrano la complessità della sicurezza cloud moderna

L’abuso del Self-Service Password Reset dimostra come gli attaccanti moderni puntino sempre più a meccanismi legittimi di gestione identità invece di affidarsi esclusivamente a malware tradizionali o vulnerabilità software. Organizzazioni con account privilegiati su Azure e Microsoft 365 devono rafforzare immediatamente policy MFA, controlli RBAC e monitoraggio degli accessi. Allo stesso tempo i problemi di Windows Update su reti isolate evidenziano quanto modifiche apparentemente minori possano impattare infrastrutture critiche come ospedali, impianti industriali e reti governative air-gapped. Il bug di Teams su macOS mostra invece le difficoltà crescenti nella gestione delle compatibilità cross-platform tra vendor differenti. Microsoft sta rispondendo su tutti i fronti attraverso advisory tecnici, rollback temporanei e collaborazione con Apple. Le aziende devono però applicare rapidamente le mitigazioni indicate e monitorare costantemente gli advisories ufficiali per mantenere protetti ambienti Azure, Windows e Teams in un panorama di minacce sempre più dinamico e complesso.