Dopo l’attacco hacker di valenza “critica” che ha sfruttato due falle di SharePoint Server, compromettendo circa 100 organizzazioni nello scorso fine settimana, Microsoft ha rilasciato aggiornamenti di sicurezza per sanare la piattaforma di collaborazione e gestione file.
Indice degli argomenti
Le raccomandazioni dell’Acn
Nel dettaglio, la vulnerabilità CVE-2025-53770 (causata dalla deserializzazione di dati non attendibili all’interno del framework ASP.NET, che SharePoint utilizza per la gestione dei propri contenuti e delle componenti dell’interfaccia utente) ha consentito ad attaccanti remoti non autenticati di eseguire codice arbitrario sulle istanze target.
In particolare, i sistemi risultati scoperti sono Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019, Microsoft SharePoint Server 2016, come evidenziato da un bollettino emesso dalla Agenzia per Cybersicurezza Nazionale. L’Acn. raccomanda, in linea con le dichiarazioni del vendor, “di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti. In aggiunta il si raccomanda di: monitorare e bloccare richieste POST verso ToolPane.aspx contenenti valori anomali nel campo __VIEWSTATE; verificare che il meccanismo di sicurezza AMSI (Antimalware Scan Interface) sia attivo; procedere con la rotazione delle machine keys di ASP.NET”. L’ultima avvertenza riguarda “la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) forniti da Microsoft e dal Cisa e di quelli riportati nell’apposita sezione”.
L’exploit segnalato nel fine settimana
Sabato Microsoft ha emesso un avviso di “attacchi attivi” sui server SharePoint self-hosted, ampiamente utilizzati dalle organizzazioni per condividere documenti e collaborare al loro interno. Le istanze di SharePoint eseguite su server Microsoft non sono state interessate.
Definiti “zero-day” perché sfruttano una vulnerabilità digitale precedentemente non divulgata, attacchi di questo tipo consentono agli intrusi di penetrare nei server vulnerabili e potenzialmente di installare una backdoor per garantire l’accesso continuo alle organizzazioni vittime.
Ecco perché questo attacco nello specifico, che non richiede autenticazione, ha ottenuto quasi il punteggio massimo per gli standard internazionali: 9,8 su 10. Venendo condotto tramite richieste HTTP di tipo POST opportunamente predisposte verso la risorsa, può determinare conseguenze al momento non calcolabili: di certo c’è solo che l’incidente ha messo in allerta governi e aziende di mezzo mondo.
Non è chiaro chi ci fosse dietro l’iniziativa. Un ricercatore ha affermato che, finora, lo spionaggio sembrava essere opera di un singolo hacker o di un gruppo di hacker. Google, che ha visibilità su enormi volumi del traffico internet, sostiene di aver collegato almeno alcuni degli attacchi a un “attore di minacce connesso alla Cina”, ma Pechino nega sistematicamente di aver condotto operazioni di hacking. L’Fbi ha dichiarato domenica di essere a conoscenza degli attacchi e di stare lavorando a stretto contatto con i suoi partner federali e del settore privato, ma non ha fornito ulteriori dettagli.
Chi è stato preso di mira dall’attacco
Vaisha Bernard, responsabile degli attacchi hacker presso Eye Security, azienda di sicurezza informatica con sede nei Paesi Bassi, che ha scoperto la campagna di hacking che ha preso di mira uno dei suoi clienti venerdì, ha affermato che una scansione Internet effettuata con la Shadowserver Foundation ha individuato quasi 100 vittime in totale, e questo prima che la tecnica alla base dell’attacco fosse ampiamente nota. “È inequivocabile”, dice Bernard. “Chissà cosa hanno fatto altri avversari da allora per installare altre backdoor.” Parlando con Reuters, il manager ha rifiutato di identificare le organizzazioni interessate, affermando che le autorità nazionali competenti erano state informate.
La Shadowserver Foundation ha confermato la cifra suggerita da Eye Security. Precisando che la maggior parte dei soggetti colpiti si trova negli Stati Uniti e in Germania e che tra le vittime figuravano organizzazioni governative. Il National Cyber Security Center britannico ha d’altra parte dichiarato in un comunicato di essere a conoscenza di “un numero limitato” di obiettivi nel Regno Unito. Uno dei ricercatori che hanno seguito la campagna ha spiegato che inizialmente sembrava rivolta a un gruppo ristretto di organizzazioni governative.
“È possibile che la situazione cambi rapidamente”, avverte Rafe Pilling, direttore della Threat Intelligence presso Sophos.
Il bacino di potenziali obiettivi rimane in ogni caso molto vasto. Secondo i dati di Shodan, un motore di ricerca che aiuta a identificare le apparecchiature collegate a Internet, oltre 8mila server online potrebbero teoricamente essere già stati compromessi dagli hacker. Shadowserver stima il numero a poco più di 9mila pur avvertendo che si tratta di un minimo. Questi server includono importanti aziende industriali, banche, revisori dei conti, aziende sanitarie e diverse entità governative statunitensi a livello statale e internazionale.
“L’incidente di SharePoint sembra aver creato un ampio livello di compromissione su una vasta gamma di server a livello globale”, dice Daniel Card della società di consulenza britannica per la sicurezza informatica PwnDefend. “Adottare un approccio basato sulla presunta violazione è saggio, ed è anche importante capire che la semplice applicazione della patch non è tutto ciò che serve in questo caso”.
L’emergenza in Italia
L’allarme naturalmente riguarda anche l’Italia. L’Agenzia per la Cybersicurezza nazionale ha diffuso un alert a tutti i soggetti potenzialmente interessati (agenzie governative, grandi aziende) mettendo in guardia sulla gravità dell’attacco. L’Acn, lo ribadiamo, suggerisce, di aggiornare subito SharePoint seguendo i bollettini di Microsoft, che ha rilasciato aggiornamenti di sicurezza straordinari, confermati dalla Cisa e dal Csirt italiano. Le patch risolvono come detto le due vulnerabilità utilizzate per l’exploit e sono accompagnate da indicatori di compromissione per aiutare gli amministratori IT.
Tuttavia, c’è il rischio che il tempo trascorso prima del rilascio degli aggiornamenti possa aver determinato la fuga di dati sensibili. Secondo il Csirt, non risultano impatti critici nei sistemi pubblici italiani, ma è in corso una verifica continua. Diverse aziende private stanno adottando contromisure consigliate da Microsoft, incluse restrizioni temporanee su SharePoint e analisi forense dei log.
“La vulnerabilità rilevata a metà luglio, pur nota e tecnicamente risolta da Microsoft, è stata sfruttata con grande rapidità da attori ostili, colpendo asset centrali per la gestione documentale di organizzazioni complesse”, commenta Andrea Monti, direttore Generale di Tinexta Cyber. “Sharepoint, infatti, è ben più di uno strumento tecnico: è il perimetro operativo dove transitano documenti strategici, procedure regolamentate, informazioni riservate e attività sensibili. Per molte realtà italiane è anche l’infrastruttura che supporta la conformità normativa, dal Gdpr alla direttiva Nis2, passando per Dora nel mondo finanziario. Un attacco riuscito, anche limitato nel tempo, può generare conseguenze che travalicano il danno informatico: può comportare obblighi di notifica, indagini ispettive, blocchi operativi e impatti reputazionali non banali. Questa vicenda”, chiosa Monti, “conferma una necessità non più rinviabile: la sicurezza informatica deve diventare una responsabilità di vertice”.
