Attacco informatico globale: Microsoft SharePoint buco nero della sicurezza

Come segnalato dal Washington Post, una vulnerabilità critica nella piattaforma Microsoft SharePoint ha innescato un attacco informatico su scala globale che, secondo ricercatori e fonti governative, ha compromesso oltre 80 organizzazioni tra enti pubblici, università, aziende energetiche e agenzie federali. Il problema riguarda esclusivamente le versioni on-premise del software, mentre i servizi cloud come Microsoft 365 risultano immuni.

L'attacco, battezzato "ToolShell", ha avuto inizio il 18 luglio, sfruttando due falle zero-day recentemente identificate come CVE-2025-53770 e CVE-2025-53771. Queste vulnerabilità si sono dimostrate in grado di eludere gli aggiornamenti rilasciati da Microsoft il 9 luglio (Patch Tuesday) per altre due falle precedenti (CVE-2025-49704 e CVE-2025-49706), consentendo agli attaccanti di ottenere l'accesso remoto ai server SharePoint e sottrarre dati sensibili, incluse chiavi di sicurezza crittografica.

A essere compromesse sono decine di realtà distribuite tra Stati Uniti, Europa, Sud America e Asia, tra cui almeno due agenzie federali statunitensi, un'università brasiliana, un'agenzia governativa spagnola e una società di telecomunicazioni asiatica. Il Dipartimento per la Sicurezza Interna statunitense (DHS), insieme a partner in Canada e Australia, ha avviato un'indagine congiunta.

Secondo il Center for Internet Security, circa 100 organizzazioni sono state informate del potenziale rischio. In alcuni casi, gli attaccanti hanno sottratto repository di documenti pubblici, impedendo agli enti coinvolti di accedere a dati cruciali.

Microsoft ha rilasciato patch di emergenza per SharePoint Server 2019 (KB50027541) e SharePoint Subscription Edition (KB5002768), ma al momento SharePoint Enterprise Server 2016 resta scoperto. L'azienda ha dichiarato di essere al lavoro su un aggiornamento più completo, senza però fornire una tempistica precisa per il rilascio.

Nel frattempo, si raccomanda agli amministratori di sistema di:

• applicare le patch disponibili;
• ruotare le machine key tramite PowerShell o Central Administration;
• scollegare temporaneamente i server da Internet se non aggiornati;
• attivare AMSI (Antimalware Scan Interface);
• monitorare i file di sistema alla ricerca di tracce di compromissione, come il file spinstall0.aspx.

L'attacco ha evidenziato ancora una volta le difficoltà di Microsoft nel fronteggiare minacce zero-day. Dopo le critiche per la gestione di attacchi precedenti, tra cui quello attribuito a hacker cinesi nel 2023, l'azienda è finita nuovamente sotto osservazione. Alcuni esperti sottolineano come le patch iniziali siano spesso troppo mirate e non risolvano le vulnerabilità correlate, lasciando aperte vie alternative di attacco.

A rendere la situazione più complessa è il fatto che, secondo diversi analisti, gli hacker potrebbero mantenere l'accesso ai server anche dopo l'installazione delle patch, grazie all'uso di chiavi compromesse. La sicurezza delle infrastrutture coinvolte rimane quindi a rischio fino al rilascio di un aggiornamento davvero risolutivo.

*Immagine di copertina: Bleeping Computer