Negli ultimi mesi Mohammed Bellala ha lavorato a un progetto che mette in luce una delle lacune più critiche – e meno discusse – nella sicurezza delle identità moderne. Il risultato di questo lavoro è SpecterBroker, accompagnato dalla nuova versione di SpecterPortal 2.0: due strumenti che dimostrano come gli attuali sistemi EDR/XDR non siano in grado di rilevare un’intera classe di attacchi basati sull’abuso dei token.
Per chi guida la sicurezza IT in aziende medie ed enterprise, questo tema non è solo tecnico: riguarda direttamente la capacità dell’organizzazione di proteggere identità, accessi e infrastrutture cloud in un contesto in cui l’autenticazione moderna si basa sempre più su token e sessioni persistenti.
Per una panoramica immediata delle tecniche e delle implicazioni operative, è disponibile anche un video dimostrativo: 👉
Disponibile anche sul canale YouTube
Perché i token sono il nuovo perimetro di attacco
Le aziende hanno investito negli ultimi anni in soluzioni EDR/XDR sempre più sofisticate, progettate per bloccare attacchi tradizionali come credential dumping, memory injection e manipolazioni di LSASS. Ma c’è un problema: non tutto ciò che conta passa da LSASS.
Una parte fondamentale dell’autenticazione moderna – inclusi Office, Teams, Azure Portal, VS Code e molte altre applicazioni Microsoft – utilizza il TokenBroker, un sistema che memorizza token e credenziali nella filesystem cache. Ed è proprio qui che nasce il punto cieco.
SpecterBroker: cosa fa e perché gli EDR non lo vedono
SpecterBroker è stato progettato per dimostrare in modo concreto quanto sia fragile questo modello. Le sue capacità includono:
- Estrazione dei token dalla cache TBRes (Office, Teams, Azure Portal, VS Code, ecc.)
- Dump dei token del WAM Broker (Access Token, Refresh Token, credenziali NGC)
- Zero interazione con LSASS – opera esclusivamente tramite accesso al filesystem
- Esportazione in formato JSON, ottimizzata per operazioni offensive
Il dato più rilevante emerso dai test è semplice e inquietante: gli EDR/XDR moderni non rilevano queste attività. Zero alert. Zero telemetria. Zero visibilità.
Il motivo è strutturale: gli EDR monitorano memoria, process injection e accessi sospetti a LSASS, ma il TokenBroker vive nel filesystem e utilizza pattern di accesso perfettamente legittimi. Per la sicurezza aziendale, questo significa una cosa: un attaccante può sottrarre token validi senza lasciare tracce rilevabili dagli strumenti di difesa più diffusi.
Il messaggio per SOC e Blue Team: state monitorando il livello sbagliato
Le regole di detection attuali si concentrano su tecniche ormai note e consolidate. Ma gli attacchi evolvono, e oggi l’abuso dei token rappresenta una superficie di attacco che richiede:
- nuova telemetria
- nuove regole di detection
- un cambio di paradigma nella protezione delle identità
Il rischio non è teorico: è operativo, concreto e già sfruttato in scenari reali.
SpecterPortal 2.0: cosa succede dopo l’estrazione dei token
Estrarre un token è solo il primo passo. La domanda che ogni responsabile IT dovrebbe porsi è: cosa può fare un attaccante con quei token?
È qui che entra in gioco SpecterPortal 2.0, progettato per dimostrare l’intera pipeline di attacco su ambienti Azure ed Entra ID.
Cosa abilita SpecterPortal con i token estratti:
- FOCI token exchange: conversione dei Refresh Token in token validi per 36 applicazioni Microsoft
- Multi‑audience generation: creazione di Access Token per Graph, ARM, KeyVault, Storage e altri servizi
- Operazioni complete su M365: gestione email, accesso a Teams, OneDrive e SharePoint
- Abuso delle risorse Azure: esecuzione comandi su VM, estrazione token Managed Identity, accesso ai segreti Key Vault
- Enumerazione Entra ID: utenti, gruppi, dispositivi, applicazioni
- Enumerazione delle Conditional Access Policy, anche senza permessi
- …e molte altre funzionalità
Per i Red Team, questo elimina la necessità di phishing, MFA bypass o Device Code Flow. Per le aziende, significa che un token compromesso equivale a un accesso completo e silenzioso all’infrastruttura cloud.
Cosa significa tutto questo per le aziende
Per i responsabili IT e i CISO, il messaggio è chiaro:
- La sicurezza delle identità non può più basarsi solo sulla protezione di LSASS.
- I token sono oggi uno degli asset più sensibili dell’intera infrastruttura.
- Gli EDR/XDR devono evolvere per colmare un gap che gli attaccanti stanno già sfruttando.
- Le aziende devono integrare test di sicurezza che includano anche l’abuso dei token e non solo le tecniche tradizionali.
La protezione dell’identità non è più un tema “di contorno”: è il nuovo perimetro.
SpecterBroker e SpecterPortal 2.0 non sono semplici strumenti: sono una dimostrazione concreta di come gli attacchi moderni si muovano su livelli che molte aziende non stanno ancora monitorando. Per chi guida la sicurezza IT, questo è il momento di aggiornare strategie, controlli e capacità di detection. Perché gli attaccanti non aspettano che il mercato si adegui.
Vuoi valutare la sicurezza della tua azienda?
Scrivici una email, fornisci i tuoi contatti ed entreremo in contatto
Preferisci farci una telefonata diretta?
I nostri orari sono: da lunedì a venerdì
08:30-12:30 14:00-18:00
Vuoi imparare personalmente come funzionano le tecniche di attacco avanzato, come si costruiscono tool utili alla protezione delle aziende e come si ragiona davvero da Red Teamer? Scopri la nostra Academy: