Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Microsoft 365 nel mirino: all’asta un exploit zero-day da 2,5 milioni di dollari

Microsoft 365 nel mirino: all’asta un exploit zero-day da 2,5 milioni di dollari

10 Luglio 2026 06:28
In sintesi

Un presunto exploit zero-day contro Microsoft 365 è stato messo all'asta su un forum cybercrime per 2,5 milioni di dollari. Se autentico, potrebbe interessare gli Initial Access Broker, figure chiave che rivendono accessi alle reti ad altri gruppi criminali.

Una cifra da capogiro, pubblicata in un annuncio apparso su un noto forum underground sta attirando l’attenzione della comunità di sicurezza informatica. Un utente con il nickname “Orcinus orca” sostiene di essere in possesso di una rara vulnerabilità zero-day in grado di compromettere l’infrastruttura core di Microsoft 365. Mette quindi all’asta quello che definisce un exploit Pre-Authentication Server-Side Request Forgery (SSRF) capace di fornire l’accesso iniziale ai sistemi senza disporre di alcuna autenticazione.

Secondo quanto riportato, l’exploit consente di colpire l’infrastruttura globale di Exchange Online sfruttando un meccanismo di “protocol-level desynchronization“. Tale bug di sicurezza consente di oltrepassare i gateway interni di Microsoft. Inoltre l’autore del post sostiene di essere riuscito a ottenere i cookie di sessione e a indurre l’infrastruttura a elaborare richieste destinate agli utenti, ipotizzando scenari di intercettazione e compromissione degli account.

Il post descrive impatti particolarmente gravi, tra cui il bypass della segmentazione di rete, il bypass dei Web Application Firewall e persino la possibilità di eseguire attacchi “zero-click”, ovvero senza alcuna interazione da parte della vittima.

Advertising

Il prezzo richiesto come abbiamo detto all’inizio è da capogiro: si parla di 1 milione di dollari come base d’asta e 2,5 milioni di dollari per l’acquisto immediato, con pagamento esclusivamente in Monero (XMR).

Prudenza: il tutto è ancora da verificare

Come accade nel mondo underground, occorre mantenere un approccio prudente. Non esistono conferme indipendenti che dimostrino l’effettiva esistenza di questo raro bug di sicurezza, né Microsoft ha rilasciato comunicazioni che confermano una compromissione della propria infrastruttura.

Possiamo sostenere che risulta molto frequente che i cybercriminali esagerino o falsifichino le capacità dei propri exploit, per aumentarne il valore commerciale. Tuttavia, anche quando un annuncio è infondato, la comparsa di offerte di questo livello rappresenta un indicatore dell’interesse verso le infrastrutture cloud e soprattutto verso le infrastrutture Cloud degli hyperscaler.

Il ruolo degli Initial Access Broker

Se questo exploit fosse realmente funzionante, i potenziali acquirenti probabilmente (oltre che stati Nazioni e intelligence degli stati nazionali) sarebbero i cosiddetti Initial Access Broker (IAB). Tratta di una figura centrale nell’economia del cybercrime, nella quale abbiamo parlato diverse volte su queste pagine.

Si tratta di gruppi specializzati che non eseguono direttamente ransomware o attività di spionaggio. Il loro compito consiste nel rilevare bug di sicurezza (sia conosciuti che 0day come in questo caso) all’interno delle reti aziendali, servizi cloud o account privilegiati e successivamente rivendere tale accesso ad altri gruppi criminali.

Advertising

In pratica rappresentano il primo anello della catena d’attacco. Una volta compromesso un ambiente Microsoft 365, l’accesso potrebbe essere ceduto a operatori ransomware, gruppi dediti al furto di dati, campagne di Business Email Compromise (BEC) oppure ad attori sponsorizzati da Stati interessati ad attività di cyber-spionaggio.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response