Netcrook Logo
👤 SECPULSE
🗓️ 27 Feb 2026   🌍 North America

Il nuovo cane da guardia di Microsoft Defender: i messaggi di Teams non sono più un porto sicuro per i link malevoli

L’ultimo aggiornamento di Defender di Microsoft porta avvisi in tempo reale sui clic degli URL in Teams, colmando un punto cieco critico per i team di sicurezza aziendali.

Per anni, i criminali informatici hanno fatto leva su una verità aziendale: mentre le email sono pesantemente sorvegliate, le chat interne come Microsoft Teams restano un bersaglio più morbido. Questo sta per cambiare. Con una mossa decisa destinata a rimodellare il rilevamento delle minacce in ambito enterprise, Microsoft Defender for Office 365 avviserà presto i team di sicurezza ogni volta che viene cliccato un link rischioso dentro Teams - ponendo potenzialmente fine alla backdoor preferita dagli attaccanti per entrare nelle organizzazioni.

Con l’esplosione del lavoro da remoto, Teams è diventato un centro nevralgico digitale per la comunicazione aziendale - e una nuova, allettante via per phishing e malware. Finora, il monitoraggio di sicurezza dei link malevoli si è concentrato in gran parte sulle email, lasciando il traffico di Teams meno scrutinato. Gli attaccanti se ne sono accorti, inserendo sempre più spesso URL dannosi nei messaggi di chat, nella speranza di eludere il rilevamento e spingersi più in profondità nelle reti.

La nuova integrazione di Microsoft chiude questa lacuna. Gli analisti del Security Operations Center (SOC) vedranno presto due nuovi tipi di avvisi nel portale Defender: uno quando un utente clicca e raggiunge un URL potenzialmente pericoloso in Teams, e un altro quando viene rilevato in generale un clic di questo tipo. In modo cruciale, ogni avviso include il messaggio originale di Teams come contesto, snellendo le indagini e riducendo la necessità di passare da uno strumento all’altro.

Il sistema correla inoltre gli avvisi di Teams con altri incidenti, consentendo agli analisti di individuare più facilmente campagne di attacco multipiattaforma. Secondo il ricercatore di sicurezza Steven Lim, questa connessione senza soluzione di continuità “aumenta significativamente l’efficienza del SOC” senza interrompere i flussi di lavoro degli utenti finali. Tuttavia, l’Automated Investigation and Response (AIR) di Microsoft non gestirà ancora questi avvisi di Teams, il che significa che la risposta agli incidenti richiede ancora un intervento manuale.

La funzionalità viene distribuita automaticamente alle organizzazioni con licenze Microsoft Defender for Office 365 Plan 2 o Microsoft 365 E5. Si consiglia agli amministratori della sicurezza di aggiornare i playbook di risposta agli incidenti, formare gli analisti sull’interpretazione degli avvisi basati su Teams e integrare nuove query di hunting - come quelle che utilizzano il Kusto Query Language (KQL) - per tracciare in modo proattivo attività sospette.

Portando alla luce le minacce nascoste in Teams, Microsoft spera di fermare gli attacchi laterali prima che degenerino. Gli analisti dovranno adattarsi rapidamente, ma i giorni di Teams come punto cieco della sicurezza sono contati.

Conclusione

La mossa di Microsoft segnala una nuova era nella sicurezza enterprise - dove ogni corridoio digitale, non solo la porta d’ingresso, è sotto sorveglianza. Man mano che gli attaccanti si adattano, anche i difensori devono farlo. Con Teams non più trascurato, l’equilibrio potrebbe finalmente tornare a favore dei buoni.

WIKICROOK

  • Microsoft Defender for Office 365: Microsoft Defender for Office 365 protegge gli utenti di Microsoft 365 da phishing, malware e link non sicuri utilizzando strumenti avanzati di rilevamento e prevenzione delle minacce.
  • Security Operations Center (SOC): Un Security Operations Center (SOC) è un team o una struttura che monitora, rileva e risponde alle minacce di cybersicurezza 24/7 per proteggere un’organizzazione.
  • Correlazione degli incidenti: La correlazione degli incidenti collega eventi di sicurezza correlati tra piattaforme per identificare campagne di attacco, migliorando il rilevamento delle minacce e l’efficienza della risposta agli incidenti.
  • Kusto Query Language (KQL): Il Kusto Query Language (KQL) è utilizzato negli strumenti Microsoft per cercare, analizzare e visualizzare rapidamente grandi volumi di dati di sicurezza e di log.
  • Automated Investigation and Response (AIR): AIR automatizza il rilevamento, l’analisi e la risposta alle minacce, consentendo una remediation più rapida e riducendo la necessità di interventi manuali di sicurezza.
Microsoft Defender Teams Security Cyber Threats
SECPULSE SECPULSE
SOC Detection Lead
← Back to news