Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
Se gestisci un server Roundcube, ho una brutta notizia.
Recentemente, un gruppo di hacker (sospettati di essere allineati alla Cina) ha bucato installazioni Roundcube di dipartimenti di fisica e ingegneria in università americane e canadesi. Non hanno attaccato l'università generica — hanno puntato specifically a chi fa ricerca sensibile.
Il vettore? Vulnerabilità note in Roundcube che permettevano:
Se stai leggendo questo probabilmente hai visto:
temp/ di RoundcubeOppure non hai visto niente — e questo è anche peggio.
Prima di iniziare, assicurati di avere:
Se non hai uno di questi, fermati e procurateli. Non ha senso fare security hardening senza poter verificare i risultati.
Apri il terminale e vai nella directory di Roundcube:
cd /var/www/html/roundcube
cat VERSION
Oppure, se non hai accesso diretto al filesystem:
curl -I https://mail.tuo-dominio.com/
Cerca header come X-RoundCube-Version.
Versioni a rischio: Tutte le versioni precedenti alla 1.6.x sono potenzialmente vulnerabili. Se vedi qualcosa diano a 1.5.x o inferiore, sei già in ritardo.
Questo è il passaggio più importante. Cerca nei log del web server (Apache/Nginx) e nei log di Roundcube:
# Log Apache
sudo grep -E "(POST|GET).*?_task=settings|_action=plugin" /var/log/apache2/access.log | tail -1000
# Log Nginx
sudo grep -E "(POST|GET).*?_task=settings|_action=plugin" /var/log/nginx/access.log | tail -1000
# Log Roundcube (se abilitati)
sudo grep -i "error\|warning" /var/log/roundcube/error.log
Cosa cercare:
_action=plugin da IP stranieri/temp/ che non dovrebbero esistereEsempio di query sospetta da bloccare:
192.168.1.100 - - [15/Jul/2026:03:22:15 +0200] "POST /?_task=mail&_action=plugin.httpapi HTTP/1.1" 200 1234
Se vedi robba simile da IP che non riconosci, hai un problema.
Controlla se qualcuno ha aggiunto o modificato file nel tuo Roundcube:
# File modificati nelle ultime 2 settimane
find /var/www/html/roundcube -type f -mtime -14 -ls
# File nuovi nella directory temp
ls -la /var/www/html/roundcube/temp/
# File con permessi strani (eseguibili, world-writable)
find /var/www/html/roundcube -type f -perm -002
Se trovi file .php nella temp che non hai messo tu, è un Indicators of Compromise (IOC).
Aggiorna subito Roundcube all'ultima versione:
# Backup prima di tutto
sudo cp -r /var/www/html/roundcube /var/www/html/roundcube.backup.$(date +%Y%m%d)
# Update via composer (se installato così)
cd /var/www/html/roundcube
sudo composer update roundcube/
# Oppure scarica l'ultima versione
wget https://github.com/roundcube/roundcubemail/releases/download/1.6.0/roundcubemail-1.6.0.tar.gz
sudo tar -xzf roundcubemail-1.6.0.tar.gz -C /var/www/html/
Dopo l'update, cambia tutte le password utente immediatamente. Se erano già compromesse, la patch non ti salva.
Ora rendi la vita difficile ai prossimi attaccanti. Modifica config/config.inc.php:
// Disabilita plugin non necessari
$config['plugins'] = array('password', 'managesieve');
// Limita sessioni simultanee
$config['max_session_lifetime'] = 1800; // 30 minuti max
$config['ip_check'] = true;
// Disabilita preview allegati remoti
$config['preview_attached_images'] = false;
// Forza HTTPS
$config['force_https'] = true;
// Limita upload
$config['max_upload_size'] = 1024 * 1024; // 1MB max
Aggiungi queste righe al tuo .htaccess (se usi Apache):
# Blocca accesso a temp e log
<Directory "/var/www/html/roundcube/temp">
Order deny,allow
Deny from all
</Directory>
<Directory "/var/www/html/roundcube/logs">
Order deny,allow
Deny from all
</Directory>
# Blocca esecuzione PHP nelle directory upload
<FilesMatch "\.php$">
Require all denied
</FilesMatch>
Non basta aggiornare una volta. Metti in piedi un sistema di allerta:
# Crea uno script di check
sudo tee /usr/local/bin/roundcube-integrity.sh << 'EOF'
#!/bin/bash
LOG="/var/log/roundcube-integrity.log"
CDIR="/var/www/html/roundcube"
# Check hash dei file core
find $CDIR -type f -name "*.php" ! -path "$CDIR/vendor/*" -exec md5sum {} > /tmp/roundcube.hashes.new \;
diff /tmp/roundcube.hashes /tmp/roundcube.hashes.new >> $LOG
# Check login anomali
grep -c "Failed login" /var/log/roundcube/userlogins 2>/dev/null >> $LOG
echo "Check completato $(date)" >> $LOG
EOF
sudo chmod +x /usr/local/bin/roundcube-integrity.sh
# Esegui ogni ora (aggiungi al crontab)
0 * * * * /usr/local/bin/roundcube-integrity.sh
Dopo aver applicato le patch e l'hardening, verifica che tutto funzioni:
# Test rapido: simulated attack
curl -X POST "https://mail.tuo-dominio.com/?_task=mail&_action=plugin.test" -d "test=<script>alert(1)</script>"
# Se restituisce errore 403 o 404, sei protetto
# Se restituisce 200, hai un problema
D: Non riesco ad aggiornare Roundcube, il composer va in errore. R: Prova a pulire la cache: composer clear-cache e poi composer update --prefer-dist. Se fallisce ancora, verifica i permessi della directory.
D: Dopo l'update gli utenti non riescono a fare login. R: Controlla che il database sia compatibile con la nuova versione: php bin/updatedb.sh. Roundcube 1.6 richiede PHP 7.4+, verifica la tua versione.
D: Ho trovato un file sospetto ma non sono sicuro sia malware. R: Isola il server immediatamente. Fai una copia forense del file (md5sum filename.php) e mandalo a un sandbox come Any.Run. Non cancellarlo prima di averlo analizzato.
D: Il server è già compromesso, cosa faccio? R: Isola dalla rete, preserva i log, ripristina da backup pulito (pre-compromissione), cambia tutte le password, notifica gli utenti. Considera di coinvolgere un team DFIR.
La situazione è chiara: gli hacker cinesi non stanno cercando di rubare le email del tuo utente medio. Puntano a settori specifici — ricerca, difesa, ingegneria. Se sei nel mirino, lo sai.
Se usi Roundcube:
Non aspettare che ti becchino. Un antispam dedicato come MailSniper può aiutarti a rilevare tentativi di phishing che arrivano come vettore iniziale — ma la prima linea di difesa sei tu, sysadmin.
Hai domande o vuoi approfondire qualcuno degli step? Controlla i log. Oggi.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.