Un'ondata di attacchi informatici ha sfruttato una falla critica nei server Microsoft SharePoint, compromettendo organizzazioni pubbliche e private in tutto il mondo. Secondo quanto riportato dal Washington Post, l'incidente ha coinvolto agenzie federali statunitensi, enti locali, università, aziende energetiche e una compagnia asiatica di telecomunicazioni.
COLPITI SERVER ON-PREMISEGli attacchi hanno preso di mira un'importante vulnerabilità di tipo zero-day nel software Microsoft SharePoint, usato a livello globale per la gestione e la condivisione di documenti. Il bug riguarda esclusivamente i server on-premise, cioè quelli ospitati internamente dalle organizzazioni, e non i servizi cloud come Microsoft 365. Dopo giorni di allarme, Microsoft ha pubblicato una patch per una sola versione del software, mentre altre due restano esposte, con la società che ha dichiarato di essere ancora al lavoro sulle correzioni. Nessun ulteriore commento ufficiale è stato rilasciato.
Secondo Adam Meyers, vicepresidente senior di CrowdStrike, "chiunque abbia un server SharePoint in hosting ha un problema. È una vulnerabilità significativa". La portata dell'attacco è tale che il governo degli Stati Uniti, insieme a Canada e Australia, ha avviato indagini coordinate.
I server violati, spesso collegati ad altri servizi Microsoft come Outlook, Teams e OneDrive, rappresentano un punto d'ingresso per il furto di dati sensibili e credenziali. Gli esperti di Eye Security, società di ricerca con sede nei Paesi Bassi, hanno segnalato che gli hacker sono riusciti ad appropriarsi di chiavi crittografiche che potrebbero consentire nuovi accessi anche dopo l'installazione delle patch. "Installare un aggiornamento oggi non serve a chi è già stato compromesso nelle ultime 72 ore", ha spiegato un ricercatore coinvolto nelle indagini.
Finora sono stati individuati più di 50 casi di compromissione, tra cui agenzie governative europee, un'azienda energetica statunitense, un'università in Brasile e una compagnia di telecomunicazioni in Asia. Almeno due agenzie federali degli Stati Uniti risultano colpite, ma i nomi restano riservati per via degli accordi di riservatezza. In un caso, un ente statale dell'Est degli USA ha denunciato l'impossibilità di accedere a un archivio pubblico di documenti rivolti ai cittadini: "Dovremo ripubblicare tutto in un repository alternativo", ha spiegato un funzionario.
Non è ancora chiaro chi ci sia dietro questi attacchi né quali siano le reali finalità. Alcuni segnali suggeriscono che siano stati presi di mira anche server in Cina, mentre negli Stati Uniti si sono attivati comitati di crisi in vari stati, incluso l'Arizona, dove le autorità stanno valutando l'estensione della minaccia a livello locale e tribale.
La portata dell'incidente ha spinto l'FBI a intervenire: "Siamo consapevoli del problema e stiamo collaborando con i partner pubblici e privati", ha dichiarato l'agenzia federale. Anche il Dipartimento della Sicurezza Interna (DHS), tramite la sua agenzia CISA (Cybersecurity and Infrastructure Security Agency), ha confermato che gli attacchi sono avvenuti a partire da una vulnerabilità simile a quella appena corretta da Microsoft in un altro componente. L'allarme è stato lanciato venerdì scorso da una società di sicurezza informatica, che ha avvisato immediatamente CISA e Microsoft.
Secondo Pete Renals, manager di Palo Alto Networks (Unit 42), "sono in corso tentativi di sfruttare migliaia di server SharePoint nel mondo prima che venga rilasciata una patch". In alcuni casi, gli attaccanti si sono limitati a esfiltrare dati, ma sono stati segnalati anche episodi più gravi, potenzialmente classificabili come wiper attack, in cui i contenuti sono stati cancellati o resi inaccessibili.
Il caso riaccende le critiche a Microsoft per la gestione delle vulnerabilità. Negli ultimi anni, l'azienda è stata più volte accusata di pubblicare patch troppo mirate, lasciando vie d'accesso simili non ancora protette. Nel 2023, una falla nei servizi cloud permise a hacker legati alla Cina di accedere alle email di alti funzionari federali, compresa l'allora Segretaria al Commercio, Gina Raimondo. Più recentemente, l'azienda è stata costretta a interrompere l'impiego di ingegneri basati in Cina per i programmi cloud destinati al Pentagono, a seguito di un'inchiesta di ProPublica e dell'intervento diretto del Segretario alla Difesa, Pete Hegseth.
Il Center for Internet Security (CIS), ente no profit che coordina la condivisione di informazioni per la sicurezza degli enti statali e locali, ha avvisato circa 100 organizzazioni vulnerabili, tra cui scuole pubbliche e università. Tuttavia, il processo di notifica ha richiesto oltre sei ore, aggravato dai recenti tagli al personale dell'ente, ridotto del 65% per effetto della riduzione dei finanziamenti a CISA.
"Nonostante l'agenzia sia guidata da un direttore ad interim, perché Sean Plankey non è stato ancora confermato, tutti stanno lavorando giorno e notte. Nessuno ha abbassato la guardia", ha affermato la portavoce Marci McCarthy.
Galaxy Z Fold 7 e Flip 7, rompere il display costerà caro: ecco quanto