Una grave vulnerabilità zero-day nel Microsoft SharePoint ha scatenato un’ondata di attacchi informatici su scala globale che ha colpito decine di organizzazioni pubbliche e private in tutto il mondo. Secondo quanto riportato dal Washington Post, tra le vittime figurano agenzie federali statunitensi, università, enti locali, aziende energetiche e una compagnia asiatica di telecomunicazioni.
Gli attacchi hanno riguardato solo i server on-premise, ovvero quelli installati internamente alle strutture, lasciando invece al sicuro le versioni cloud come Microsoft 365. L’azienda ha rilasciato una patch solo per una delle tre versioni vulnerabili, promettendo aggiornamenti futuri, ma senza rilasciare alcuna dichiarazione ufficiale. Pete Renals di Palo Alto Networks ha confermato che “sono in corso tentativi di sfruttare migliaia di server SharePoint nel mondo prima che vengano chiusi i punti deboli“.
Un bug di Microsoft SharePoint scatena attacchi hacker su scala globale
Il bug ha permesso ai malintenzionati di ottenere accessi non autorizzati e, in alcuni casi, di sottrarre delle chiavi crittografiche capaci di garantire un accesso continuo anche dopo l’installazione delle patch. “Chiunque abbia un server SharePoint in hosting ha un problema“, ha spiegato Adam Meyers di CrowdStrike.
Finora i casi registrati in tutto il mondo sono una cinquantina, e tra gli attori compromessi ci stanno due enti federali USA, un’università brasiliana e un’azienda energetica. In un caso documentato, un ente statale americano ha perso l’accesso a un intero archivio pubblico e dovrà ora trasferire tutto il contenuto in un nuovo repository. Alcuni segnali indicano che uno dei prossimi obiettivi degli hacker possano essere dei server situati in Cina. L’agenzia statunitense CISA e l’FBI hanno iniziato una collaborazione per indagare su quanto accaduto, trovando anche partner internazionali in paesi come Canada e Australia.
Microsoft è ovviamente finita nuovamente sotto accusa per la gestione delle vulnerabilità nei suoi prodotti. Secondo alcuni esperti, l’azienda tende a pubblicare aggiornamenti troppo limitati, lasciando dunque versioni obsolete esposte a vulnerabilità versioni simili per settimane.
Il caso ricorda un episodio simile avvenuto nel 2023, quando una falla nei servizi cloud permise ad hacker legati alla Cina di accedere alle email di alti funzionari statunitensi. A rendere più difficile la risposta agli attacchi, ha contribuito anche la riduzione dei fondi a CISA, che ha comportato il taglio del 65% del personale al Center for Internet Security, ente responsabile delle notifiche agli enti locali.
