Da giorni alcuni hacker criminali stanno portando avanti una serie di attacchi informatici a livello globale, sfruttando una falla ‘sistemica’ di Microsoft. In particolare di SharePoint, software di gestione del noto sistema operativo. Compromesse agenzie e enti governativi negli USA, università, aziende di telecomunicazione. Maccari (Sielte): “Mantenere aggiornati tutti i sistemi di sicurezza”
Vettori e vulnerabilità sistemiche
Sono giorni che dei criminal hacker, ancora ignoti, stanno portando avanti una serie di attacchi informatici contro importanti enti e agenzie degli USA (e non solo), sfruttando una falla di Microsoft. Lo ha riportato il Washington Post, aggiungendo che le indagini di Washington – ma anche di Canada e Australia – avrebbero puntato il dito contro i server di SharePoint.
Microsoft SharePoint è una piattaforma software di Content Management System (sviluppata proprio da Microsoft) che serve per la condivisione e la gestione dei documenti. Secondo gli esperti, decine di migliaia di server sarebbero a rischio. Da parte sua il ‘colosso’ di Redmond non si sarebbe tutelata. Non avrebbe rilasciato alcuna patch per la falla, lasciando i soggetti attaccati da soli a reagire.
Per quanto riguarda gli USA – al netto dell’ultimo episodio – è ormai da tempo che la sicurezza informatica è oggetto di dibattiti e interrogativi. I recenti riassestamenti interni di carattere amministrativo potrebbero aver rallentato tutta la macchina burocratica.
I dubbi su Microsoft
A destare grandi preoccupazioni è il fatto che ancora non si sono individuati i responsabili. Questi, tra l’altro, avrebbero colpito anche dei server in Cina e un parlamento statale americano. Due agenzie hanno subito delle violazioni, fermo restando tutti gli altri danni
L’attacco ‘zero-day‘, così chiamato perché ha preso di mira una vulnerabilità precedentemente sconosciuta, è solo l’ultimo capitolo di una lunga storia che ha riguardato Microsoft. Solo l’anno scorso, l’azienda aveva subito delle pesanti accuse da un gruppo di esperti governativi e dell’industria statunitense.
In particolare, per aver commesso errori che hanno permesso un attacco cinese mirato del 2023 alle e-mail del Governo USA, comprese quelle dell’allora Segretario al Commercio Gina Raimondo.
L’attacco più recente avrebbe invece compromesso solo i server ospitati all’interno di un’organizzazione, non quelli nel cloud, come Microsoft 365. Dopo aver suggerito agli utenti di apportare modifiche o semplicemente di scollegare i programmi del server SharePoint da Internet, domenica sera l’azienda ha rilasciato una patch. La quale era per una versione rivista del software.
Restano tuttavia altre due versioni altrettanto vulnerabili. Tanto che Microsoft ha dichiarato che sta continuando a lavorare per sviluppare un’altra patch.
Il problema è che con l’accesso a questi server – che spesso si connettono alla posta elettronica di Outlook, a Teams e ad altri servizi principali – una violazione può portare al furto di dati sensibili. Le stesse password possono essere a loro volta oggetto di raccolta.
Maccari (Sielte): “Mantenere aggiornati tutti i sistemi di sicurezza”
Secondo Marco Maccari, Responsabile BU Sicurezza Informatica di Sielte, “anche in presenza di uno zero day, sapere di aver applicato tutti gli aggiornamenti di sicurezza disponibili in precedenza rende più difficile il lavoro dei cyber criminali. È un prerequisito fondamentale, anche se non sufficiente. Mantenere aggiornati tutti i sistemi di sicurezza – come gli endpoint – e ottimizzare le regole dei firewall per le applicazioni (WAF) resta essenziale per bloccare e rilevare tentativi di exploit o attività di compromissione. Allo stesso modo, è indispensabile monitorare costantemente i sistemi e disporre di un processo interno di risposta agli incidenti ben definito, soprattutto in caso di attacchi zero day.
Per Maccari “il controllo continuo del comportamento delle utenze digitali, supportato da sistemi di machine learning, può innalzare ulteriormente il livello di protezione. La sicurezza deve essere considerata come un processo continuo, basato su più livelli che, se configurati correttamente, permettono di affrontare e gestire le criticità con consapevolezza. La sicurezza totale non esiste – conclude, ma una strategia strutturata riduce significativamente i rischi.”
ACN: “Si raccomanda di aggiornare i prodotti vulnerabili”
Il CSIRT Italia ha prontamente redatto un bollettino dal titolo ‘ToolShell: rilevato sfruttamento in rete di vulnerabilità in SharePoint‘. Questo in sintesi l’accaduto: “Microsoft ha rilasciato aggiornamenti di sicurezza per 2 vulnerabilità che interessano il prodotto SharePoint, nota piattaforma di collaborazione e gestione file. Nel dettaglio, la CVE-2025-53770 risulta sfruttata attivamente in rete. Causata dalla deserializzazione di dati non attendibili, consente a un attaccante remoto non autenticato di eseguire codice arbitrario sulle istanze target“.
E ancora: “Microsoft ha recentemente individuato lo sfruttamento in rete di una vulnerabilità con gravità ‘critica’. Quest’ultima, identificata tramite la CVE‑2025‑53770 con score CVSS v3.x pari a 9.8 è di tipo ‘Remote Code Execution’, con interesse per il prodotto SharePoint Server“.
Da qui le raccomandazioni sulle azioni di mitigazione. Ossia, “in linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti“.
In aggiunta il si raccomanda di:
- monitorare e bloccare richieste POST verso ToolPane.aspx contenenti valori anomali nel campo __VIEWSTATE.
- Verificare che il meccanismo di sicurezza AMSI (Antimalware Scan Interface) sia attivo.
- Procedere con la rotazione delle machine keys di ASP.NET.
Infine, il suggerimento è quello “di valutare” la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) forniti da Microsoft e dal CISA.
Cristian Lucci (CEO Sharelock): “Puntare solo su patch e difese statiche basate su signature o regole si rivela insufficiente”
“Il caso della vulnerabilità su Microsoft SharePoint evidenzia come il paradigma della sicurezza debba evolvere di fronte agli attacchi zero-day“, ha affermato Cristian Lucci, CEO di Sharelock.
Lucci ha aggiunto: “Puntare solo su patch e difese statiche basate su signature o regole si rivela insufficiente. E succede quando gli attaccanti colpiscono sfruttando comportamenti e vulnerabilità sconosciute, integrandosi perfettamente nei flussi operativi normali. La chiave è adottare un approccio che unisca il monitoraggio comportamentale continuo delle identità e della postura di sistema con l’automazione delle indagini e delle risposte. In questo modo, anche segnali minimi, apparentemente normali e legittimi, possono emergere come alert affidabili. Si consente così la rilevazione tempestiva degli attacchi anche senza conoscenza preventiva della minaccia“.
Poi, ha concluso: “In un panorama dove il rischio zero-day deve essere affrontato come dato di fatto, ci devono essere delle azioni precise. Ossia, assicurare la massima visibilità sulle identità e sulle posture di sicurezza. E ancora, automatizzare le indagini sulla base di dati trasversali e portare la risposta al livello del contesto effettivo dell’organizzazione, sono diventate condizioni essenziali“.
