Il password spray è una tecnica di attacco alle credenziali che può colpire aziende e privati. Scopri come come proteggere i tuoi account.
Gli attacchi agli account online sono diventati sempre più frequenti, soprattutto in ambito aziendale. La diffusione dello smart working ha spinto molte organizzazioni ad adottare infrastrutture digitali per rendere il lavoro più flessibile, rendendo però più complesso il controllo e il monitoraggio degli accessi.
Solitamente gli attacchi alle credenziali iniziano con metodi subdoli, come le campagne di phishing o l’ingegneria sociale. Esistono però anche approcci più diretti, come gli attacchi brute-force. Tra questi spicca il password spray, una tecnica in cui gli aggressori usano una lista di password comuni per provare a violare molti account diversi.
- In cosa consiste il password spray
- Tipico scenario d’attacco
- Impatto degli attacchi password spray
- Prevenzione e difesa
In questo articolo vedremo cos’è il password spray, come funziona, quali rischi comporta e quali contromisure adottare per proteggersi.
In cosa consiste il password spray
In un attacco password spray, i cybercriminali eseguono tentativi di accesso su più tipi di account all’interno di una rete. Per farlo, usano l’approccio “low-and-slow”, per eludere i meccanismi di blocco automatico. I bersagli principali sono solitamente i servizi di amministrazione esposti su porte di rete standard, come accesso remoto, condivisione file, autenticazione di dominio e portali web. Questo perché spesso adottano sistemi di autenticazione protetti solo da credenziali basilari, rendendoli perfetti per attacchi automatizzati su larga scala.
I servizi più colpiti includono sia vecchie interfacce che tecnologie più moderne, tra cui:
- Servizi legacy: Telnet, NetBIOS, LDAP, Kerberos;
- Database: Oracle, MySQL, MSSQL;
- Accessi remoti: SSH, RDP, SMB/Samba, VNC;
- Web: HTTP/HTTPS, portali di login aziendali;
Oltre ai servizi tradizionali, gli attaccanti prediligono anche i sistemi di Single Sign-On (SSO) e le applicazioni cloud che usano provider esterni per l’autenticazione, come Microsoft 365. In questi casi, una singola combinazione valida di username e password garantisce l’accesso a e-mail, servizi di cloud storage, strumenti di collaborazione e applicazioni aziendali.
Tipico scenario d’attacco
Un attacco password spray inizia solitamente con la raccolta di username validi, ottenuti tramite:
- OSINT (ricerca pubblica su social e directory online);
- Dump di credenziali rubate in precedenti violazioni;
- Directory aziendali mal configurate o accessibili pubblicamente.
Una volta costruita la lista, l’attaccante applica una password comune alla volta su tutti gli account, prima di passare alla successiva. Questa strategia riduce notevolmente il rischio di bloccare gli account presi di mire e aggira i sistemi di protezione basati su tentativi ripetuti su un singolo utente. L’attacco viene eseguito a ondate lente e distribuite nel tempo, spesso nell’arco di ore o giorni, proprio per evitare il rilevamento dei sistemi di sicurezza. I singoli tentativi sono deliberatamente spaziati per minimizzare il rumore generato sui log e la probabilità di attivare contromisure automatiche.
Per eseguire questi test in modo efficiente, i cybercriminali usano strumenti specializzati come:
- Spray: script Python per il testing via NTLM/LDAP;
- MSOLSpray: un programma pensato per i servizi Azure AD con logiche anti-lockout;
- Go365spray: versione Go mirata ai portali Microsoft 365;
- Kerbrute: tool per enumerare utenti ed eseguire attacchi in ambienti Active Directory e Kerberos;
Per nascondere la loro identità, gli aggressori utilizzano nodi Tor, proxy residenziali in rotazione o macchine virtuali in cloud, diversificando così gli indirizzi IP e aggirando i sistemi di geolocalizzazione.
Impatto degli attacchi password spray
Quando un attacco password spray va a segno, gli aggressori puntano agli account con privilegi amministrativi elevati per ottenere il massimo controllo. Da lì, possono:
- Spostarsi lateralmente nella rete;
- Rraccogliere dati sensibili;
- Prendere il controllo di risorse critiche.
Per rimanere nascosti il più a lungo possibili, gli aggressori registrano un proprio dispositivo come aziendale autorizzato, così da apparire attendibili e accedere direttamente alle risorse interne. In altri casi creano token di accesso o di refresh, che restano validi anche se l’utente cambia la password. Questi token funzionano come un pass permanente per e-mail, file e applicazioni. Un’altra tecnica diffusa è la configurazione di applicazioni di servizio con permessi persistenti. Anche se l’utente viene disconnesso o bloccato, questi programmi restano attivi nell’ambiente aziendale, offrendo agli attaccanti un accesso costante e invisibile.
Nel contesto privato, lo scopo è compromettere i singoli account degli utenti per accedere a dati personali, e-mail, o servizi online. Sebbene lo scenario sia meno complesso rispetto a un’infrastruttura aziendale, il rischio per la privacy e la sicurezza resta elevato.
Prevenzione e difesa
Alla luce di quanto visto finora, risulta evidente che gli attacchi password spray possono essere solo un entry point per compromissioni ben più gravi. Se non vengono bloccati in tempo, consentono agli aggressori di ottenere accesso agli account aziendali o personali, con conseguenze anche molto serie. Pertanto, al fine di prevenirli, è necessario adottare misure preventive per proteggere i propri account da accessi non autorizzati.
In particolare, si consiglia di:
- Bloccare gli account dopo più tentativi falliti, impostando soglie equilibrate per evitare falsi positivi e blocchi di utenti legittimi.
- Applicare politiche di accesso condizionale, ad esempio bloccando i login da dispositivi non conformi o da indirizzi IP non attendibili;
- Rifiutare le autenticazioni rischiose, come quelle provenienti da servizi Tor, proxy, o VPN sospette;
- Utilizzare password robuste e uniche, da aggiornare regolarmente o in caso di sospetta violazione;
- Abilitare l’autenticazione multifattore (MFA) anche sugli account meno sensibili;
- Disabilitare protocolli obsoleti o non compatibili con i moderni sistemi di sicurezza, come NTLMv1 o POP3 senza TLS.
Se un attacco password spray riesce, la priorità è individuare rapidamente gli account compromessi. Un buon metodo consiste nel confrontare i tentativi di accesso falliti con i login riusciti provenienti dallo stesso indirizzo IP. Vanno poi segnalati tutti i tentativi di accesso anomali individuati, in particolare quelli che avvengono fuori dall’orario lavorativo o da reti non attendibili. Gli account sospetti vanno poi bloccati e si deve forzare il reset delle credenziali. Anche le sessioni attive vanno terminate, in particolare quelle con privilegi elevati o collegate a strumenti di terze parti.
Una risposta tempestiva può contenere l’incidente prima che si trasformi in una violazione in piena regola.
- Autore articolo
- Gli ultimi articoli
Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.