Sintesi

A seguito di una serie di attacchi informatici che hanno interessato organizzazioni di rilievo internazionale – in particolare nel settore sanitario – si segnala una recrudescenza di campagne volte alla compromissione di piattaforme di Endpoint Management (come Microsoft Intune ). Gli attori malevoli non utilizzano malware tradizionali, ma sfruttano delle funzionalità di amministrazione legittime per eseguire la cancellazione massiva dei dati ( wiping ) e l’esfiltrazione di informazioni sensibili.

Descrizione e impatti rilevati

L’incidente di riferimento, verificatosi l’11 marzo 2026, ha evidenziato come un noto gruppo di hacker, con uno storico documentato di utilizzo di tecniche di social engineering e identity theft , sia riuscito a ottenere l’accesso alle console di gestione di un’importante azienda di tecnologie mediche.

Secondo le prime analisi gli attaccanti non sembrerebbero aver sfruttato vulnerabilità di tipo ” zero-day “, ma verosimilmente campagne di phishing mirato (spear-phishing) o tecniche di social engineering.

Sebbene le indagini siano in corso, è plausibile l’impiego delle tecniche per il superamento dei controlli MFA, quali:

• MFA Fatigue : invio massivo di notifiche push per indurre l’amministratore all’approvazione involontaria;
• Session Hijacking : furto di token di sessione per simulare un’utenza già autenticata e bypassare le sfide MFA.

Una volta all’interno del tenant (Microsoft Entra ID – già Azure AD), gli attori malevoli si sono mossi lateralmente fino a ottenere il controllo della console Microsoft Intune . In tale contesto, l’account compromesso disponeva di privilegi sufficienti per operare in autonomia sull’intera flotta aziendale, in assenza di meccanismi di controllo compensativi e approvazione per operazioni ad alto impatto.

Come evidenziato da analisi tecniche di terze parti, l’acquisizione dei privilegi amministrativi ha consentito l’abuso diretto delle funzionalità MDM ( Mobile Device Management ) native. L’assenza di codice malevolo ha permesso di eludere le logiche di rilevamento basate su firme o euristiche tramite l’impiego del comando legittimo di ‘Remote Wipe’.

La strumentalizzazione di questa funzionalità, concepita per la protezione di asset smarriti, ha innescato la formattazione remota e simultanea di decine di migliaia di endpoint (laptop, server e smartphone). Tale azione ha comportato l’indisponibilità immediata dei dispositivi e la perdita logica di circa 12 petabyte di dati. L’impiego di comandi amministrativi formalmente leciti ha impedito alle soluzioni di sicurezza ( EDR/AV ) di rilevare anomalie, provocando l’interruzione dei processi produttivi e dei servizi critici dell’organizzazione colpita.

Azioni di Mitigazione

Si raccomanda di valutare l’adozione delle seguenti misure tecniche.

Configurazione Multi-Admin Approval (MAA)

Per mitigare il rischio derivante da utenze amministrative non opportunamente configurate, l’implementazione del meccanismo MAA su Microsoft Intune dovrebbe attenersi ai seguenti requisiti tecnici:

• Percorso di Configurazione : accedere a Microsoft Intune admin center > Amministrazione del tenant > Approvazione multi-amministratore. Definire una nuova Access Policy.
• Definizione Ambiti : associare la policy a specifici profili critici (es. Script, App o Configurazione dei dispositivi) tenendo conto che la funzionalità MAA è limitata al perimetro funzionale e alle tipologie di risorse esplicitamente previste dalla piattaforma Microsoft Intune.
• Segregazione delle Funzioni (SoD) : identificare un gruppo di sicurezza in Microsoft Entra ID dedicato esclusivamente alla validazione. Il gruppo degli approvatori deve essere logicamente disgiunto da quello dei richiedenti. L’efficacia della misura decade se non viene garantita la reale separazione dei compiti e l’applicazione del principio del Least Privilege.
• Workflow di Validazione : ogni comando di modifica o cancellazione deve essere forzato in stato “In sospeso”. L’autorizzazione è subordinata alla validazione manuale di un secondo amministratore autorizzato. L’intero ciclo di vita della richiesta deve essere tracciato nei log di auditing per finalità di non ripudiabilità e analisi post-incidente.
• Governance e Resilienza : stabilire un numero minimo di approvatori (almeno due) per evitare blocchi operativi. Implementare una revisione periodica (trimestrale) delle appartenenze al gruppo e definire protocolli di gestione per le richieste scadute (timeout) onde evitare l’accumulo di eccezioni di sicurezza.

Mitigazioni Generali

• Implementazione di MFA Phishing-Resistant (FIDO2/Certificate-based) : risulta fortemente raccomandata la transizione verso sistemi di autenticazione che garantiscano il legame univoco tra identità e dispositivo fisico. La sostituzione di metodi basati su notifiche push o SMS è essenziale per neutralizzare i vettori di MFA Fatigue e Session Hijacking.
• Implementazione di Privileged Identity Management (PIM) : abilitare l’assegnazione just-in-time dei privilegi amministrativi, limitando l’esposizione di account con diritti elevati permanenti. L’attivazione dei privilegi deve essere subordinata a forte autenticazione e, ove possibile, a meccanismi di approvazione.
• Restrizione degli accessi tramite Conditional Access (CA) : configurare policy di accesso condizionale che subordinino l’accesso alle console di gestione alla conformità del dispositivo ( device compliance ) e alla provenienza da posizioni geografiche o perimetri di rete esplicitamente autorizzati ( Trusted Locations ).
• Monitoraggio Proattivo dei Log di Auditing : implementare query di rilevamento specifiche per identificare tempestivamente anomalie comportamentali, con particolare attenzione a picchi insoliti di comandi di Wipe o variazioni non autorizzate nei ruoli RBAC .