Il Tirreno

Una falla critica nei server Microsoft SharePoint ha aperto la strada a una serie di attacchi informatici su scala globale. Nelle ultime settimane, migliaia di organizzazioni – dalle agenzie governative alle aziende energetiche – sono finite nel mirino di un gruppo di hacker ancora senza volto, che ha sfruttato una vulnerabilità di tipo zero-day, cioè sconosciuta fino al momento dell’attacco. «Chi gestisce server SharePoint in locale è esposto a gravi rischi», ha avvertito Adam Meyers, vicepresidente della società di cybersecurity CrowdStrike.

Come funziona l’attacco: presa di controllo da remoto senza credenziali

Secondo le indagini iniziali, la vulnerabilità presente nella versione on-premise di SharePoint ha permesso agli aggressori di ottenere l’accesso completo ai server senza la necessità di credenziali. Una volta dentro, i cybercriminali possono estrarre dati sensibili, intercettare password e inserire chiavi crittografiche per garantirsi un accesso duraturo anche dopo l’implementazione di eventuali patch di sicurezza.

Le vittime: migliaia di istituzioni a rischio

Secondo Censys, oltre 10.000 entità risultano vulnerabili, con Stati Uniti, Paesi Bassi, Regno Unito e Canada tra i paesi più colpiti. Anche in Asia è stata confermata almeno una compromissione importante, che ha coinvolto un operatore nel settore delle telecomunicazioni. Eye Security ha già segnalato più di 50 violazioni accertate, tra cui accessi non autorizzati ad archivi pubblici che sono stati completamente bloccati dagli aggressori, impedendo l’accesso ai legittimi proprietari. «Stiamo osservando un numero crescente di intrusioni sui server SharePoint», ha dichiarato Pete Renals, esperto dell’Unità 42 di Palo Alto Networks.

Impatto limitato ai server locali: Microsoft 365 non è coinvolto

È importante sottolineare che la falla riguarda esclusivamente le installazioni locali di SharePoint. I servizi cloud di Microsoft, come Microsoft 365, al momento risultano non coinvolti. Tuttavia, il numero di server a rischio rimane altissimo, vista la diffusione dello strumento a livello aziendale e istituzionale.

La situazione in Italia: l’ACN lancia l’allarme

Anche l’Agenzia per la Cybersicurezza Nazionale (ACN) italiana è intervenuta tempestivamente, pubblicando un avviso urgente rivolto a enti pubblici e grandi imprese. L’agenzia raccomanda:

• L’installazione immediata delle patch di sicurezza rilasciate da Microsoft
• Il monitoraggio delle richieste POST sospette dirette al file ToolPane.aspx
• Il controllo dell’integrità del campo __VIEWSTATE
• L’attivazione del meccanismo AMSI (Antimalware Scan Interface)
• La rotazione delle machine keys ASP.NET