Come abbiamo scritto l’altro ieri, un attacco informatico di tipo zero-day sta colpendo in queste ore migliaia di server Microsoft SharePoint in tutto il mondo, con implicazioni che spaziano dallo spionaggio industriale alla sicurezza nazionale.
Il problema è noto come CVE-2025-53770 e la situazione si è trasformata in una crisi globale. A essere colpite sono state le installazioni ‘self-hosted’ di SharePoint, ovvero quelle versioni del software che le aziende e gli enti pubblici gestiscono nei propri server interni, anziché utilizzare la versione cloud gestita da Microsoft (come SharePoint Online).
Si tratta di una vulnerabilità zero-day, termine con cui si definisce una falla di sicurezza scoperta dagli attaccanti prima che il fornitore (in questo caso Microsoft) possa sviluppare e distribuire una patch correttiva. La falla consente agli hacker di rubare chiavi critiche che autenticano gli accessi tra servizi, penetrare nei sistemi da remoto e installare malware.
Una volta dentro, gli attaccanti possono non solo accedere ai file conservati su SharePoint ma anche propagarsi ad altri dispositivi della rete aziendale. Secondo TechCrunch, le prime tracce di attività malevola risalgono almeno al 7 luglio.
Ciò che sta emergendo in queste ore è che nonostante Microsoft fosse al corrente del problema già da qualche tempo (ha rilasciato una patch correttiva l’8 luglio), l’aggiornamento si è rivelato inefficace. Al che, come ha ricostruito Reuters, l’azienda ha dovuto rilasciare nuove patch nei giorni successivi, nel tentativo di arginare l’ondata di attacchi, che nel frattempo ha coinvolto almeno un centinaio di organizzazioni.
I sospetti ricadono sulla Cina (che nega)
Microsoft e Google (tramite la divisione Mandiant) hanno attribuito la responsabilità degli attacchi a tre gruppi di hacker legati alla Cina: Linen Typhoon, Violet Typhoon e un gruppo meno noto denominato Storm-2603.
I primi due sono già noti per attività di furto di proprietà intellettuale e spionaggio industriale, mentre Storm-2603 è una realtà ancora poco documentata, sebbene in passato sia stata collegata ad attacchi ransomware.
Come ha riportato Axios, Charles Carmakal, CTO di Mandiant, ha confermato che ormai il problema si sta espandendo a macchia d’olio: più gruppi, non necessariamente collegati tra loro, stanno ora sfruttando la stessa falla. Si tratta di una dinamica pericolosa, perché aumenta il rischio che la vulnerabilità venga usata anche da cybercriminali comuni per fini meno sofisticati ma altrettanto devastanti, come la diffusione di ransomware.
Come sempre in questi casi, Pechino respinge le accuse. Il portavoce dell’ambasciata cinese a Washington ha dichiarato che la Cina “si oppone fermamente a tutte le forme di attacchi informatici”, ma la linea difensiva è ormai collaudata e poco credibile nel mondo della cybersecurity.
Il precedente del 2021, peraltro, pesa come un macigno: proprio hacker legati a Pechino furono ritenuti responsabili della campagna Hafnium, che colpì decine di migliaia di server Microsoft Exchange self-hosted, esfiltrando caselle di posta e contatti riservati.
Una vicenda che ha lasciato strascichi profondi nei rapporti diplomatici tra Stati Uniti e Cina.
Chi è stato colpito e quanto è grave il danno
Secondo Axios, tra le vittime già accertate ci sono agenzie statali e federali statunitensi, università, una compagnia energetica e un’importante società di telecomunicazioni asiatica.
Il Washington Post parla di almeno 100 organizzazioni già compromesse ma gli esperti di sicurezza avvertono che il numero è destinato a salire, anche perché molti sistemi colpiti non sono ancora stati identificati.
Le aziende più esposte sono quelle che utilizzano versioni legacy di SharePoint, cioè edizioni più vecchie e spesso non aggiornate del software, ancora molto diffuse soprattutto in enti pubblici di piccole dimensioni, aziende sanitarie, università e operatori di infrastrutture critiche.
In molti casi, si tratta di sistemi installati anni fa e mai migrati a versioni più moderne o al cloud, privi dei meccanismi di protezione più avanzati. Secondo i dati forniti da Shodan e dalla Shadowserver Foundation, tra 8.000 e 9.000 server online sarebbero potenzialmente vulnerabili, in gran parte situati tra Stati Uniti e Germania.
Il problema è aggravato dal fatto che molte di queste organizzazioni non dispongono di team interni di risposta a incidenti di questo tipo, né di sistemi avanzati di rilevamento delle minacce. Come ha detto ad Axios il responsabile di Unit 42, Michael Sikorski, si tratta di “bersagli immobili” (“sitting ducks”, in originale, ndR) che non hanno le capacità per reagire in tempi rapidi.
E non basta installare la patch: se un attaccante è già riuscito a entrare e ha rubato le cosiddette machine keys, può mantenere l’accesso anche dopo l’aggiornamento. In altri casi, sono già state installate backdoor permanenti, che consentono un controllo prolungato da parte degli hacker.
SharePoint: un disastro annunciato (a maggio)
A rendere più grave la situazione è Reuters, che spiega come la vulnerabilità non sia stata scoperta da Microsoft ma da un ricercatore del team di sicurezza di Viettel, operatore vietnamita legato alle forze armate del Paese.
Nel maggio scorso, durante una gara di hacking organizzata a Berlino da Trend Micro, una delle principali aziende internazionali di cybersicurezza, un ricercatore ha dimostrato come fosse possibile sfruttare una falla critica in SharePoint, ribattezzata “ToolShell”, e ha ricevuto un premio di 100.000 dollari per la sua scoperta.
Questi eventi, pensati per stimolare la ricerca etica di vulnerabilità nei software più diffusi, permettono di individuare e correggere falle prima che vengano sfruttate da attori malintenzionati.
Microsoft ha quindi avuto tempo per reagire. Ma la patch inizialmente rilasciata si è rivelata insufficiente e nel giro di pochi giorni, diversi team di cybersecurity hanno rilevato un aumento anomalo di attività malevole su server SharePoint.
E come ha scritto l’azienda Sophos, gli attaccanti sono riusciti ad aggirare la patch, sviluppando exploit capaci di eluderla. Una situazione che, secondo Trend Micro, non è una novità per Microsoft: “Le patch possono occasionalmente fallire. Questo è già successo con SharePoint in passato”, ha dichiarato l’azienda.
Nel frattempo, la minaccia resta attiva e in espansione. Gli attacchi si stanno moltiplicando su più fronti, tra chi vuole rubare dati e chi punta a installare ransomware. E la sensazione, confermata da tutte le fonti, è che questa sia solo la prima di molte ondate.
