Security

DNS hijacking su router SOHO: l’avviso di Microsoft

3 min di lettura

Riepilogo

Microsoft Threat Intelligence afferma che Forest Blizzard ha compromesso router domestici e di piccoli uffici vulnerabili per dirottare il traffico DNS e, in alcuni casi, abilitare attacchi adversary-in-the-middle contro connessioni mirate. La campagna è rilevante per i team IT perché i dispositivi SOHO non gestiti usati da lavoratori remoti e ibridi possono esporre l’accesso al cloud e dati sensibili anche quando gli ambienti aziendali restano protetti.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha divulgato una campagna su larga scala in cui Forest Blizzard, un attore di minaccia collegato all’intelligence militare russa, ha compromesso router SOHO vulnerabili e ne ha modificato le impostazioni DNS. Per le organizzazioni con lavoratori remoti e ibridi, questo è un promemoria critico: le apparecchiature di rete domestiche e di piccoli uffici non gestite possono diventare un punto cieco che espone l’accesso a Microsoft 365 e altro traffico sensibile.

Cosa c’è di nuovo

Secondo Microsoft Threat Intelligence, l’attore è attivo almeno da agosto 2025 e ha utilizzato dispositivi edge compromessi per creare su larga scala un’infrastruttura DNS malevola.

Risultati principali

  • Forest Blizzard ha modificato le configurazioni dei router per indirizzare i dispositivi verso resolver DNS controllati dall’attore.
  • Microsoft ha identificato più di 200 organizzazioni e 5.000 dispositivi consumer colpiti dall’infrastruttura DNS malevola.
  • La campagna ha consentito raccolta DNS passiva e attività di ricognizione nelle reti prese di mira.
  • In un sottoinsieme di casi, l’attore ha sfruttato questa posizione per supportare attacchi Transport Layer Security (TLS) adversary-in-the-middle (AiTM).
  • Microsoft ha osservato attività successive mirate a domini Outlook on the web e attività AiTM separate contro server governativi in Africa.

Perché è importante per gli amministratori IT

L’aspetto più importante da considerare è che i controlli di sicurezza enterprise non proteggono completamente il traffico se il router a monte dell’utente è compromesso. Un router domestico o di piccolo ufficio può reindirizzare silenziosamente le query DNS, offrendo a un attaccante visibilità sui domini richiesti e, in scenari selezionati, l’opportunità di falsificare le risposte e tentare l’intercettazione del traffico.

Per i clienti Microsoft 365, questo è particolarmente rilevante quando gli utenti accedono a Outlook on the web o ad altri servizi cloud da reti non gestite. Anche se i servizi Microsoft non sono compromessi, gli utenti possono comunque essere esposti se ignorano avvisi di certificati TLS non validi o se attività DNS sospette non vengono rilevate.

Azioni consigliate

Microsoft raccomanda diverse misure di mitigazione immediate:

  • Valutare i rischi legati alle apparecchiature di rete domestiche e di piccoli uffici degli utenti remoti.
  • Applicare, dove possibile, una risoluzione DNS attendibile, inclusi i controlli Zero Trust DNS (ZTDNS) sugli endpoint Windows.
  • Abilitare network protection e web protection in Microsoft Defender for Endpoint.
  • Bloccare i domini malevoli noti e conservare log DNS dettagliati per monitoraggio e indagine.
  • Eseguire audit delle configurazioni di router e dispositivi edge, in particolare delle impostazioni DNS e DHCP.
  • Assicurarsi che i dispositivi SOHO vulnerabili siano aggiornati, configurati in modo sicuro o sostituiti se non più supportati.
  • Formare gli utenti a non ignorare gli avvisi dei certificati TLS.

Conclusione

Questa campagna mostra come gli attaccanti possano sfruttare dispositivi edge gestiti in modo debole per ottenere visibilità su obiettivi enterprise di maggior valore. I team di sicurezza dovrebbero ampliare il proprio modello di minaccia oltre l’infrastruttura aziendale e includere le apparecchiature di rete home office nelle strategie di accesso remoto e protezione di Microsoft 365.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Threat Intelligence
DNS hijackingSOHO routersMicrosoft DefenderAiTMForest Blizzard

Articoli correlati

Security

Storm-1175 e Medusa ransomware: asset web nel mirino

Microsoft Threat Intelligence avverte che Storm-1175 sta sfruttando rapidamente sistemi esposti su Internet e vulnerabili per distribuire Medusa ransomware, talvolta entro 24 ore dall’accesso iniziale. L’attenzione del gruppo per falle appena divulgate, web shell, strumenti RMM e rapidi movimenti laterali rende fondamentali per i difensori la velocità di patching, l’exposure management e il rilevamento post-compromissione.

Security

Phishing device code AI: campagna in escalation

Microsoft Defender Security Research ha descritto una campagna di phishing su larga scala che abusa del flusso OAuth device code usando esche generate con AI, generazione dinamica dei codici e infrastruttura backend automatizzata. La campagna aumenta il rischio per le organizzazioni perché migliora i tassi di successo degli attaccanti, aggira i modelli di rilevamento tradizionali e consente il furto di token, la persistenza tramite regole della posta in arrivo e la ricognizione con Microsoft Graph.

Security

Cyberattacchi AI: minacce accelerate nella catena

Microsoft avverte che gli attori delle minacce stanno ora integrando l’AI nell’intero ciclo di vita del cyberattacco, dalla ricognizione e dal phishing fino allo sviluppo di malware e alle operazioni post-compromissione. Per i difensori, questo significa attacchi più rapidi e precisi, tassi di successo del phishing più elevati e una crescente necessità di rafforzare identità, protezioni MFA e visibilità sulle superfici di attacco guidate dall’AI.

Security

Webshell PHP con cookie su Linux: elusione

Microsoft avverte che gli attori delle minacce stanno usando cookie HTTP per controllare webshell PHP negli ambienti di hosting Linux, aiutando il codice malevolo a restare inattivo finché non sono presenti specifici valori dei cookie. La tecnica riduce la visibilità nei log di routine, supporta la persistenza tramite cron job e sottolinea la necessità di un monitoraggio più efficace, protezione web e rilevamento endpoint sui carichi di lavoro Linux ospitati.

Security

Compromissione supply chain Axios npm: guida

Microsoft ha avvisato che le versioni npm dannose di Axios 1.14.1 e 0.30.4 sono state usate in un attacco alla supply chain attribuito a Sapphire Sleet. Le organizzazioni che usano i pacchetti interessati dovrebbero ruotare subito i segreti, eseguire il downgrade a versioni sicure e verificare eventuali compromissioni su endpoint degli sviluppatori e sistemi CI/CD.

Security

Sicurezza infrastrutture critiche: preparazione 2026

Microsoft afferma che il modello di minaccia per le infrastrutture critiche è passato da attacchi opportunistici ad accessi persistenti basati sull’identità, pensati per causare future interruzioni. Per i responsabili IT e della sicurezza, il messaggio è chiaro: ridurre l’esposizione, rafforzare l’identità e validare subito la preparazione operativa, mentre aumentano regolamentazioni e attività degli stati nazione.