Microsoft SharePoint, l’ACN ricostruisce la catena post-compromissione. Nel mirino la libreria node-SAML

4 Agosto 2025
,

Secondo la ricostruzione di ACN, l’attaccante è riuscito a ottenere l’accesso iniziale tramite una falla in SharePoint, per poi estendere il controllo sfruttando la libreria node‑SAML in contesti aziendali.

Una vulnerabilità nella libreria node‑SAML, utilizzata nei sistemi di autenticazione SAML 2.0 in ambienti Node.js, è stata sfruttata come punto di appoggio per un attacco avanzato successivo alla compromissione di Microsoft SharePoint.

Lo segnala l’Agenzia per la Cybersicurezza Nazionale (ACN), che ha pubblicato una dettagliata analisi tecnica con ricostruzione della catena di attacco.

Secondo quanto emerso, l’attaccante è riuscito a ottenere l’accesso iniziale tramite una falla in SharePoint, per poi estendere il controllo sfruttando la libreria node‑SAML. Il risultato è stato un attacco strutturato e persistente, con un rischio di esfiltrazione dati.

Punto di ingresso: SharePoint

L’attacco ha avuto origine da un’istanza vulnerabile di Microsoft SharePoint, compromessa tramite vettori noti. Una volta ottenuto l’accesso, gli attori malevoli hanno cercato di ampliare il controllo su altri sistemi sfruttando la fiducia tra applicazioni e servizi federati.

Il ruolo di node‑SAML

Il secondo stadio dell’attacco ha interessato la libreria node‑SAML, comunemente utilizzata per gestire l’autenticazione SAML 2.0 in ambienti Node.js. Una vulnerabilità critica ha permesso agli attaccanti di aggirare i meccanismi di autenticazione, impersonare utenti legittimi e accedere a risorse protette in altri domini aziendali.

L’ACN sottolinea che, pur non trattandosi di un attacco zero-day, l’utilizzo di componenti open-source poco monitorati può trasformarsi in un punto debole sistemico se non gestito in modo attento.

SharePoint: catena di attacco ricostruita

L’analisi ha permesso di individuare quattro fasi distinte:

  • Compromissione iniziale di SharePoint
  • Sfruttamento della vulnerabilità in node‑SAML
  • Accesso persistente e movimenti laterali nella rete
  • Possibile esfiltrazione o compromissione di ulteriori sistemi

La natura modulare dell’attacco evidenzia come le minacce attuali non si limitino a un singolo servizio, ma si diffondano in ambienti interconnessi.

Le raccomandazioni dell’ACN

Il CSIRT Italia invita tutte le organizzazioni che utilizzano node‑SAML a:

  • Aggiornare immediatamente la libreria all’ultima versione disponibile
  • Analizzare i log di autenticazione federata alla ricerca di accessi anomali
  • Implementare monitoraggi specifici in ambienti SharePoint
  • Valutare le dipendenze software per identificare ulteriori componenti a rischio
PrecedenteSuccessivo

Related Posts

Diego Fasano, CEO, Ermetix

CyberSEC2026. Fasano (Ermetix): “Considerare l’AI come un nuovo dominio strategico”

5 Marzo 2026
Luigi Portaluri, Director, South Europe, Magnet Forensics

CyberSEC2026. Portaluri (Magnet Forensics): “Gli algoritmi producono risultati affidabili solo a partire da dati di qualità”

5 Marzo 2026

Creare un CyberHUB Italia: dare vita all’ecosistema nazionale della Cybersecurity

5 Marzo 2026

CyberSEC2026, la cybersicurezza come bene pubblico: il ruolo di scuola, istituzioni e industria

5 Marzo 2026

Ultime news

Diego Fasano, CEO, Ermetix
Luigi Portaluri, Director, South Europe, Magnet Forensics
Vittorio Rizzi, Direttore Generale, DIS
Cyberspionaggio Cina