Un nuovo attacco informatico su larga scala ha preso di mira i server SharePoint di Microsoft utilizzati da migliaia di organizzazioni in tutto il mondo.
Microsoft ha confermato la presenza di attacchi attivi e ha invitato con urgenza i clienti a installare le patch di sicurezza rilasciate nel weekend.
Le versioni cloud di SharePoint Online in Microsoft 365 non sono coinvolte ma il rischio rimane altissimo per le istanze locali ancora prive degli aggiornamenti correttivi.
L’allerta per Microsoft
I primi segnali dell’intrusione sono stati individuati da Eye Security, che ha segnalato un attacco venerdì scorso.
Il tipo di intrusione osservato somigliava a una demo tecnica diffusa nei giorni precedenti dai ricercatori di Code White, che riproduceva una vulnerabilità nota nel circuito degli hacker. Il timore, ora, è che l’exploit sia già circolato nel dark web o nei forum underground, permettendo a più gruppi criminali di sfruttarlo contemporaneamente.
L’attacco si basa su una vulnerabilità “zero day”, ovvero una falla di sicurezza precedentemente sconosciuta che consente agli aggressori di aggirare le difese standard dei server SharePoint.
Secondo quanto riportato dal Washington Post, tra i bersagli colpiti figurano agenzie federali e statali americane, università, società energetiche e perfino una compagnia asiatica di telecomunicazioni.
I ricercatori temono che decine di migliaia di server siano potenzialmente a rischio. Silas Cutler, esperto di Censys, stima che oltre 10.000 aziende nel mondo possano essere vulnerabili.
Gli Stati Uniti sono il Paese più esposto, seguiti da Paesi Bassi, Regno Unito e Canada. “È il sogno di ogni operatore ransomware”, ha dichiarato Cutler. “Molti attaccanti lavoreranno anche durante il weekend per approfittarne”.
Cosa si rischia
Il tipo di vulnerabilità consente non solo l’accesso ai file system e alle configurazioni interne dei server, ma anche la possibilità di mantenere l’accesso attraverso backdoor o componenti modificati, capaci di resistere agli aggiornamenti e ai riavvii.
In alcuni casi, gli hacker potrebbero addirittura rubare le chiavi necessarie per impersonare utenti legittimi anche dopo l’installazione delle patch.
Microsoft ha pubblicato aggiornamenti di sicurezza urgenti per SharePoint 2016 e 2019 e ha consigliato, nei casi più critici, di disconnettere temporaneamente i server da Internet.
“Abbiamo collaborato strettamente con CISA, il DOD Cyber Defense Command e i principali partner globali nel campo della cybersecurity durante tutta la nostra risposta”, ha dichiarato un portavoce dell’azienda.
Le autorità statunitensi, inclusa la CISA e l’FBI, stanno monitorando l’evoluzione dell’attacco, mentre anche Google e Palo Alto Networks hanno confermato la presenza di exploit già attivi “in-the-wild”. Con questa espressione s’intende che i codici o le tecniche utilizzate per sfruttare una vulnerabilità non sono solo teorici o limitati a test di laboratorio, ma sono già utilizzati attivamente da hacker nel mondo reale.
Secondo il Google Threat Intelligence Group, la vulnerabilità permette un accesso persistente e non autenticato ai sistemi colpiti, rappresentando “un rischio significativo per le organizzazioni coinvolte”.
A rendere il quadro ancora più preoccupante è il contesto recente: Microsoft è reduce da un altro grave incidente di sicurezza nel 2023, quando un attacco hacker ha compromesso centinaia di caselle di posta Exchange Online, coinvolgendo anche esponenti del governo americano.
Un rapporto della Cyber Safety Review Board aveva già allora bollato la cultura della sicurezza interna dell’azienda come “inadeguata”.
