Security

{{Microsoft Defender predictive shielding blocca attacchi AD}}

3 min di lettura

Riepilogo

Microsoft ha spiegato come predictive shielding in Defender possa contenere la compromissione di un dominio Active Directory limitando gli account ad alto privilegio esposti prima che gli aggressori riutilizzino credenziali rubate. La funzionalità aiuta i team di sicurezza a ridurre il movimento laterale e a colmare il gap di risposta durante attacchi rapidi basati sull’identità.

Hai bisogno di aiuto con Security?Parla con un esperto

{{## Introduzione Gli attacchi basati sull’identità possono passare da un singolo server compromesso al controllo completo di un dominio Active Directory in poche ore. Le più recenti ricerche sulla sicurezza di Microsoft mostrano come predictive shielding in Microsoft Defender possa interrompere questo percorso limitando in modo proattivo gli account privilegiati esposti prima che gli aggressori rendano operative le credenziali rubate.

Per i team di sicurezza, questo è importante perché la risposta tradizionale spesso inizia solo dopo che viene osservato l’uso malevolo di un account. Predictive shielding cambia questo modello agendo sulla probabile esposizione delle credenziali quasi in tempo reale.

Cosa c’è di nuovo

Microsoft ha evidenziato una reale catena di attacco del settore pubblico del 2025 e ha spiegato come predictive shielding, ora parte di automatic attack disruption in Microsoft Defender, cambi l’esito.

Le funzionalità principali includono:

  • Rilevare attività post-breach associate al furto di credenziali su un dispositivo
  • Valutare quali identità ad alto privilegio sono state probabilmente esposte
  • Applicare restrizioni just-in-time per limitare l’abuso di credenziali e il movimento laterale
  • Ridurre l’accesso degli aggressori a operazioni sensibili sulle identità mentre i responder indagano

La ricerca ha mostrato come gli aggressori si siano spostati da una IIS web shell all’escalation dei privilegi locali, al credential dumping con Mimikatz e al successivo abuso dell’accesso ai domain controller, della delega di Exchange e degli strumenti Impacket.

Come aiuta predictive shielding

Nell’incidente descritto da Microsoft, gli aggressori sono passati rapidamente dall’accesso iniziale a operazioni a livello di dominio, tra cui:

  • Dump di LSASS, SAM e altro materiale di credenziali
  • Creazione di attività pianificate su un domain controller
  • Accesso ai dati NTDS per l’abuso offline delle credenziali
  • Installazione di una web shell su Exchange Server
  • Enumerazione e abuso delle autorizzazioni di delega delle mailbox
  • Uso di strumenti come Impacket, PsExec e secretsdump per il movimento laterale

Microsoft afferma che predictive shielding può interrompere questo schema prima, limitando gli account nel momento in cui è probabile che siano esposti, anziché attendere un uso malevolo confermato. Questo approccio è progettato per colmare il "gap di velocità" tra il furto di credenziali e la risposta dei difensori.

Impatto per gli amministratori IT

Per i defender che gestiscono identità ibride e Active Directory on-premises, si tratta di un aspetto significativo. La compromissione del dominio è difficile da contenere perché gli amministratori non possono semplicemente spegnere i domain controller o i servizi di identità core senza interrompere l’operatività aziendale.

Predictive shielding offre ai team SOC e identity un ulteriore livello di contenimento automatizzato tramite:

  • Protezione degli account ad alto privilegio durante eventi di furto di credenziali
  • Rallentamento del movimento laterale degli aggressori tra server e infrastruttura di identità
  • Più tempo ai responder per attività di remediation come reimpostazione delle password, convalida ACL e rotazione di krbtgt

La funzionalità è disponibile come miglioramento out-of-the-box per i clienti Microsoft Defender for Endpoint P2 che soddisfano i prerequisiti di Defender.

Prossimi passaggi

Gli amministratori della sicurezza dovrebbero:

  • Rivedere le impostazioni di automatic attack disruption in Microsoft Defender
  • Confermare idoneità e prerequisiti per predictive shielding
  • Rafforzare i percorsi di esposizione di IIS, Exchange e domain controller
  • Verificare le identità privilegiate e le autorizzazioni delegate
  • Convalidare i playbook di incident response per scenari di compromissione del dominio

Il messaggio chiave è chiaro: il contenimento proattivo delle identità sta diventando essenziale per difendere gli ambienti Active Directory dalle moderne tecniche di movimento laterale.}}

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Articoli correlati

Security

Intrusione macOS di Sapphire Sleet: insight chiave

Microsoft Threat Intelligence ha illustrato una campagna mirata a macOS di Sapphire Sleet che usa social engineering e falsi aggiornamenti software invece di sfruttare vulnerabilità. La catena di attacco si basa sull’esecuzione avviata dall’utente di AppleScript e Terminal per aggirare le protezioni native di macOS, rendendo particolarmente importanti difese stratificate, consapevolezza degli utenti e rilevamento degli endpoint.

Security

Strategia di inventario crittografico per il quantum

Microsoft invita le organizzazioni a considerare l’inventario crittografico come il primo passo pratico verso la preparazione post-quantum. L’azienda delinea un ciclo continuo di Cryptography Posture Management per aiutare i team di sicurezza a individuare, valutare, prioritizzare e correggere i rischi crittografici in codice, reti, runtime e storage.

Security

Risposta agli incidenti AI: cosa cambia per la sicurezza

Microsoft afferma che i principi tradizionali di incident response continuano ad applicarsi ai sistemi AI, ma i team devono adattarsi al comportamento non deterministico, ai danni più rapidi su larga scala e a nuove categorie di rischio. L’azienda evidenzia la necessità di una migliore telemetria AI, piani di risposta cross-funzionali e remediation in più fasi per contenere rapidamente i problemi mentre vengono sviluppate correzioni a lungo termine.

Security

Agentic SOC Microsoft: la visione per il futuro SecOps

Microsoft delinea un modello di "agentic SOC" che combina l'interruzione autonoma delle minacce con agenti AI per accelerare le indagini e ridurre l'affaticamento da alert. L'approccio punta a spostare le operazioni di sicurezza da una risposta reattiva agli incidenti a una difesa più rapida e adattiva, dando ai team SOC più tempo per la riduzione strategica del rischio e la governance.

Security

Attacchi payroll Storm-2755 contro dipendenti canadesi

Microsoft ha illustrato una campagna Storm-2755 a scopo finanziario che prende di mira i dipendenti canadesi con attacchi di deviazione del payroll. L’attore della minaccia ha usato SEO poisoning, malvertising e tecniche adversary-in-the-middle per rubare sessioni, aggirare l’MFA legacy e modificare i dettagli del deposito diretto, rendendo l’MFA resistente al phishing e il monitoraggio delle sessioni difese essenziali.

Security

Vulnerabilità Android di EngageSDK: milioni a rischio

Microsoft ha divulgato una grave falla di intent redirection nel componente di terze parti EngageSDK per Android, esponendo potenzialmente milioni di utenti di wallet crypto al rischio di esposizione dei dati ed escalation dei privilegi. Il problema è stato corretto in EngageSDK versione 5.2.1 e il caso evidenzia il crescente rischio per la sicurezza legato a dipendenze opache nella supply chain delle app mobili.