In un comunicato ufficiale, Microsoft ha definito la propria accusa, contro due gruppi cyber criminali cinesi, PecLinen Typhoon e Violet Typhoon. Questi sarebbero responsabili dell’attacco hacker contro SharePoint.
Microsoft accusa
Microsoft ha definito un’accusa contro la Cina, indirettamente responsabile dell’attacco cyber contro SharePoint. Si tratta della piattaforma software di Content Management System (sviluppata proprio da Microsoft) che serve per la condivisione e la gestione dei documenti.
Dietro l’attacco ‘zero-day‘, la compagnia statunitense avrebbe osservato due attori statali cinesi, Linen Typhoon e Violet Typhoon. Entrambi, avrebbero sfrutatto due vulnerabilità precise. CVE-2025-49706, una vulnerabilità di spoofing e CVE-2025-49704, una vulnerabilità di esecuzione di codice remoto. Sono due vettori sfruttati per prendere di mira i server SharePoint connessi a Internet.
Inoltre, ha aggiunto Microsoft, “abbiamo osservato un altro attore di minaccia con sede in Cina, tracciato come Storm-2603, che sfrutta queste vulnerabilità“. Sono ancora in corso indagini su altri attori che utilizzano questi exploit. Mentre proseguono gli approfondimenti, eventuali aggiornamenti saranno oggetto di precise comunicazione.
L’importanza della catena del valore
Il problema è che con l’accesso a questi server – che spesso si connettono alla posta elettronica di Outlook, a Teams e ad altri servizi principali – una violazione può portare al furto di dati sensibili. Le stesse password possono essere a loro volta oggetto di raccolta.
Nel frattempo, l’azienda con sede principale a Redmond, ha individuato il punto che i cyber criminali hanno attaccato. In questi termini è riuscita a completare una correzione della stessa vulnerabilità che i tre gruppi hacker criminali avrebbero sfruttato.
La portata dell’operazione è stata tale che le conseguenze, come ha riportato il Washington Post, hanno avuto un effetto globale.
Consigli di aggiornamenti
Nel suo comunicato, Microsoft ha consigliato ai clienti di utilizzare versioni supportate dei server SharePoint on-premise con gli ultimi aggiornamenti di sicurezza.
Per impedire che attacchi non autenticati sfruttino questa vulnerabilità, i clienti dovrebbero compiere alcune precise operazioni. Tra queste:
- integrare e abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o soluzioni equivalenti) per tutte le distribuzioni SharePoint on-premise.
- configurare AMSI per abilitare la modalità completa, come descritto in dettaglio nella sezione Mitigazioni di seguito.
Inoltre, “i clienti dovrebbero ruotare le chiavi macchina ASP.NET del server SharePoint, riavviare Internet Information Services (IIS) e distribuire Microsoft Defender per Endpoint o soluzioni equivalenti“.
