Zero-day SharePoint: Microsoft punta il dito contro gruppi legati a Pechino

Microsoft ha confermato che gruppi di hacker legati allo Stato cinese hanno sfruttato le vulnerabilità critiche presenti nella piattaforma SharePoint per condurre campagne di intrusione mirate contro aziende, università ed enti governativi in numerosi paesi.

Le attività malevole, individuate e tracciate anche da società specializzate in sicurezza come Eye Security, CrowdStrike e Mandiant (Google), si sono intensificate a partire dal 7 luglio, prendendo di mira server SharePoint esposti su internet e gestiti direttamente dagli utenti (on-premise).

Secondo Microsoft, almeno tre gruppi di origine cinese - identificati come Linen Typhoon, Violet Typhoon e Storm-2603 - hanno già utilizzato queste falle per accedere a sistemi vulnerabili. La società ha dichiarato di attendersi che gli attacchi continueranno contro i sistemi non ancora aggiornati. Le vulnerabilità permettono il furto di credenziali, l'accesso a dati sensibili e la possibilità di muoversi lateralmente all'interno delle reti compromesse.

Le intrusioni non hanno colpito unicamente gli Stati Uniti, ma anche organizzazioni pubbliche e private in Europa, Medio Oriente, Asia e Sud America. Le vittime includono università, enti della sanità, aziende energetiche e istituzioni pubbliche, tra cui, secondo fonti riportate da Bloomberg, anche il Dipartimento dell'Educazione USA, il Dipartimento delle Entrate della Florida e l'Assemblea Generale del Rhode Island.

Secondo Eye Security, il numero di server compromessi ha superato quota 100, con 60 organizzazioni coinvolte in totale. Tra queste si contano entità nei settori dell'energia, della consulenza e dell'istruzione superiore, localizzate in paesi come Arabia Saudita, Vietnam, Oman, Emirati Arabi Uniti, Brasile, Canada, Indonesia, Spagna, Svizzera, Regno Unito, Stati Uniti e Australia.

Anche dopo l'installazione delle patch ufficiali, gli hacker sono riusciti a mantenere l'accesso ai sistemi compromessi, grazie all'inserimento di backdoor e componenti modificati. Vaisha Bernard, esperto di Eye Security, ha confermato che "esistevano vie alternative" che hanno permesso agli attaccanti di eludere le contromisure e proseguire le attività ostili. Gli attacchi non sembrano essere stati mirati a obiettivi specifici, ma piuttosto orientati a compromettere il maggior numero possibile di bersagli esposti.

L'ambasciata cinese ha respinto ogni accusa, affermando che Pechino si oppone fermamente a qualsiasi forma di cyberattacco e sollecitando un approccio basato su prove concrete e verificabili. Tuttavia, secondo diversi analisti, le tecniche utilizzate e le modalità operative sono coerenti con precedenti attività di cyberspionaggio condotte da gruppi statali cinesi.

Microsoft ha rilasciato aggiornamenti correttivi per tutte le versioni di SharePoint interessate dalla falla zero-day, inclusa SharePoint 2016 (non aggiornata in un primo momento).

Tuttavia, vista la rapidità di diffusione degli exploit, l'azienda invita con urgenza tutti i gestori di sistemi on-premise a verificare lo stato dei propri server e ad applicare tempestivamente le patch. La natura critica della vulnerabilità e l'integrazione profonda di SharePoint con altri servizi Microsoft, come Teams, Outlook e OneDrive, aumentano il rischio complessivo.

Questa nuova campagna evidenzia ancora una volta le difficoltà strutturali nella gestione della sicurezza da parte di Microsoft. Dopo una serie di episodi simili negli ultimi anni, l'azienda ha avviato una revisione interna delle proprie pratiche, con il coinvolgimento di ex dirigenti governativi statunitensi e incontri settimanali dedicati al rafforzamento delle proprie difese informatiche.