Disabilitazione MFA: Multi-Factor Authentication (T1556.006)

Il cuore di questa tecnica sta nella manipolazione del piano di controllo delle identità, non nel bruteforcing delle credenziali. Per replicarla in laboratorio serve un ambiente con Entra ID (ex Azure AD) configurato con Conditional Access e almeno un metodo MFA attivo.

Scenario 1 — Disabilitazione MFA via AADInternals

Il modulo PowerShell AADInternals (open source) è lo strumento documentato per questa tecnica. Dopo aver compromesso un account con privilegi di Global Admin o Authentication Administrator, la sequenza operativa è lineare:

Install-Module AADInternals Import-Module AADInternals $token = Get-AADIntAccessTokenForAADGraph Set-AADIntUserMFA -UserPrincipalName vittima@dominio.com -State Disabled

Questo comando disabilita l'MFA per l'utente specificato. In un engagement reale il red team dovrebbe documentare lo stato MFA precedente per il ripristino. Il comando Get-AADIntUserMFA consente di enumerare lo stato MFA di tutti gli utenti del tenant, identificando account già privi di protezione.

Scenario 2 — Esclusione da Conditional Access Policy

Con accesso al portale Entra ID o tramite Microsoft Graph API, un attaccante può escludere un utente specifico da una policy che impone l'MFA. Questa operazione non disabilita l'MFA globalmente ma crea un'eccezione chirurgica, molto più difficile da notare. Tramite Graph API (con il modulo PowerShell Microsoft.Graph, open source):

Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

Da qui è possibile aggiornare la policy aggiungendo l'ObjectId dell'utente nella lista delle esclusioni. Il vantaggio per l'attaccante è che la policy rimane attiva per tutti gli altri, rendendo l'anomalia invisibile a un audit superficiale.

Scenario 3 — Manipolazione del file hosts

Su un endpoint Windows, la modifica del file hosts per reindirizzare il server MFA verso 127.0.0.1 è la tecnica più grezza ma efficace in contesti on-premise con autenticazione RADIUS o server MFA dedicati. Un semplice append:

echo 127.0.0.1 mfa-server.dominio.local >> C:\windows\system32\drivers\etc\hosts

Se il sistema è configurato in fail-open, l'autenticazione procede senza il secondo fattore. In laboratorio, verificate il comportamento del vostro MFA provider in caso di timeout o irraggiungibilità del server: molte configurazioni di default sono fail-open.

Scenario 4 — Registrazione token MFA controllato

Replicando il modus operandi di Scattered Spider, dopo aver compromesso le credenziali di un utente si registra un nuovo metodo MFA — ad esempio un'app authenticator su un dispositivo controllato dall'attaccante — prima che la vittima se ne accorga. Questo approccio non richiede privilegi elevati: basta una sessione autenticata valida.

La detection di questa tecnica richiede visibilità su due piani distinti: le modifiche alla configurazione MFA e le autenticazioni anomale che ne conseguono. Trattandoli separatamente si producono falsi positivi; correlandoli si ottengono alert ad alta fedeltà.

Log source critici e cosa cercare

Sul piano Windows, i log WinEventLog:Security e WinEventLog:PowerShell sono la base. L'analisi AN0543 punta a intercettare modifiche al registry o a Group Policy che indeboliscono l'MFA, oltre a comandi PowerShell che manipolano attributi MFA. La chiave di tuning è definire una lista di WatchedAttributes — gli attributi AD e i campi di policy legati all'enforcement MFA — specifici per la vostra organizzazione, e impostare una TimeWindow di correlazione tra la modifica della policy e login anomali successivi.

Per l'Identity Provider (analisi AN0544), i log azure:signinlogs e m365:unified rivelano modifiche alle Conditional Access Policy, esclusioni di account dall'MFA e registrazioni di nuovi fattori MFA da parte di utenti non autorizzati. L'elemento di tuning fondamentale è la lista di PrivilegedRoles autorizzati a modificare le impostazioni MFA: qualsiasi modifica proveniente da un ruolo non in lista dovrebbe generare un alert critico.

In ambiente cloud IaaS (AN0545), i log AWS:CloudTrail catturano chiamate API che disabilitano le policy MFA su IAM. Su Linux (AN0546), i log auditd:SYSCALL rilevano modifiche ai moduli PAM in /etc/pam.d/, correlabili con autenticazioni riuscite prive del prompt MFA. Per macOS (AN0547), i macos:unifiedlog tracciano alterazioni ai plugin di autorizzazione responsabili dell'MFA.

Strategia di correlazione anti-falsi positivi

Il singolo evento "policy MFA modificata" è troppo rumoroso in organizzazioni dove gli admin modificano le policy regolarmente. La regola d'oro è correlare l'evento di modifica con un login riuscito senza challenge MFA entro la finestra temporale configurata. Se un account viene escluso da una Conditional Access Policy e nelle successive 4 ore effettua un login senza MFA da un IP o device non riconosciuto, l'alert passa da informativo a critico.

Per le piattaforme SaaS (AN0548) e Office Suite (AN0549), monitorate la registrazione di fattori MFA più deboli — come SMS al posto di FIDO2 — e la rimozione di requisiti MFA per account specifici o gruppi. Il tuning con AcceptedFactors e MonitoredPolicies riduce il rumore filtrando le modifiche conformi alle policy aziendali.

Ricostruire un incidente legato alla disabilitazione MFA significa tracciare il momento esatto in cui la protezione è stata rimossa e tutto ciò che è accaduto dopo, perché da quel punto in avanti l'attaccante si muoveva come un utente legittimo.

Artefatti Windows

Il file hosts (C:\windows\system32\drivers\etc\hosts) è il primo artefatto da controllare. Il timestamp NTFS di ultima modifica ($MFT, $STANDARD_INFORMATION e $FILE_NAME) rivela quando è stato manipolato. In parallelo, la USN Journal registra le operazioni di modifica sul file, fornendo un secondo riscontro temporale anche se i timestamp MACE sono stati alterati. Strumenti come MFTECmd di Eric Zimmerman (open source) parsano efficientemente la $MFT, mentre fsutil usn readjournal C: restituisce le entry USN Journal.

Per le modifiche via PowerShell, i log PowerShell/Operational (EventCode 4104) catturano lo script block logging: cercate invocazioni di cmdlet come Set-AADIntUserMFA, Set-MsolUser con parametri relativi a StrongAuthentication, o interazioni con il modulo Microsoft.Graph che modificano le Conditional Access. La console history di PowerShell, salvata di default nel profilo utente sotto AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt, può contenere i comandi esatti digitati dall'attaccante.

Artefatti Identity Provider

Gli Entra ID Audit Log sono fondamentali. Filtrate per le categorie di attività "Authentication Methods" e "Conditional Access": ogni modifica registra l'actor (UPN e ObjectId), il target, i valori precedente e successivo, e il correlation ID che lega l'operazione all'intera sessione. Esportate questi log in formato JSON per importarli nella timeline forense con strumenti come Timeline Explorer (open source) o KAPE (open source, di Eric Zimmerman).

Artefatti Linux

Su sistemi Linux con MFA via PAM, i file in /etc/pam.d/ hanno timestamp di modifica che vanno confrontati con i log di auditd. Le syscall open, write e rename su file come /etc/pam.d/sshd o moduli specifici del vostro provider MFA sono i segnali da cercare. Il comando ausearch -f /etc/pam.d/ restituisce tutte le operazioni auditate su quella directory.

Costruzione della timeline

La sequenza tipica è: compromissione account → escalation a ruolo con privilegi MFA → modifica policy o registrazione nuovo token → login senza MFA → movimento laterale. Ancorate ogni fase a un timestamp verificato da almeno due fonti indipendenti (log di autenticazione e artefatto endpoint) per costruire una timeline forensicamente solida.

La tecnica T1556.006 ha un profilo di utilizzo ancora ristretto nei dati documentati, ma il singolo gruppo e i due software associati raccontano pattern operativi distinti e complementari.

Scattered Spider (G1015) rappresenta il modello di attacco incentrato sull'identità. Questo gruppo, noto per operazioni ad alta intensità di social engineering contro grandi organizzazioni, dopo aver compromesso account utente registra i propri token MFA. L'approccio è elegante: non disabilita l'MFA (operazione visibile negli audit log), ma aggiunge un fattore controllato, lasciando intatto il fattore originale della vittima. Questo indica un livello di sofisticazione operativa orientato alla stealth e alla persistenza a lungo termine. Il pattern suggerisce che il gruppo operi con accesso iniziale ottenuto tramite social engineering o SIM swapping, e che la registrazione del token MFA sia uno dei primi passi post-compromissione per consolidare l'accesso.

SLOWPULSE (S1104) sposta il focus dal cloud all'infrastruttura di rete. Questo malware inietta logica malevola nei flussi di autenticazione RADIUS e ACE per bypassare la 2FA quando viene fornita una password specifica predefinita dall'attaccante. La presenza di una backdoor password-activated nel flusso MFA è indicativa di operazioni che richiedono accesso fisico o privilegiato all'appliance VPN — un profilo compatibile con gruppi che conducono attacchi alla supply chain o sfruttano vulnerabilità in dispositivi perimetrali.

AADInternals (S0677) è il tool che democratizza la tecnica. Essendo un modulo PowerShell pubblicamente disponibile, abbassa la barriera d'ingresso per qualsiasi attaccante con privilegi amministrativi su un tenant Entra ID. Il comando Set-AADIntUserMFA è diretto e non richiede competenze di sviluppo, rendendolo accessibile anche a operatori meno sofisticati.

Pattern e trend previsionali

La convergenza verso ambienti cloud-identity è il trend dominante. Con la crescente adozione di architetture Zero Trust che poggiano pesantemente sull'MFA come controllo primario, la disabilitazione o il bypass dell'MFA diventa un obiettivo strategico. Le organizzazioni che implementano policy fail-open o che non monitorano la registrazione di nuovi fattori MFA sono i bersagli più probabili. Il passaggio da MFA basata su SMS o app a soluzioni FIDO2/passkey potrebbe ridurre la superficie d'attacco per la registrazione di token fraudolenti, ma introduce nuovi vettori legati alla gestione dei dispositivi hardware.

Framework MITRE ATT&CK v16: T1556.006, TA0003, TA0005, TA0006, G1015, S1104, S0677, M1018, M1032, M1047. Detection: DET0190, AN0543–AN0549. Integrato con conoscenza professionale per tool e procedure operative.