Microsoft, hacker sfruttano una falla nel SharePoint Server, attacco globale colpisce agenzie, aziende e università
Violata una vulnerabilità nelle versioni locali di SharePoint Server di Microsoft: compromessi decine di migliaia di server, a rischio dati sensibili e servizi come Outlook e Teams, le autorità indagano, mentre Microsoft lavora a ulteriori aggiornamenti di sicurezza
Una vulnerabilità individuata nel software SharePoint Server di Microsoft è stata sfruttata da un gruppo di hacker per condurre un attacco su scala globale, colpendo agenzie governative, università, aziende energetiche e un gruppo di comunicazione con sede in Asia. L’attacco ha interessato versioni locali del sistema, utilizzato dalle organizzazioni per la gestione autonoma di documenti e infrastrutture, e non ha coinvolto la versione cloud SharePoint Online.
L’incidente ha avuto origine da installazioni di SharePoint Server non aggiornate, con versioni 2016 e 2019 particolarmente esposte. Microsoft ha già rilasciato un primo aggiornamento di sicurezza e sta lavorando a nuove patch correttive. Le autorità di Stati Uniti, Canada e Australia stanno collaborando per identificare l’entità dei danni, con stime iniziali che parlano di decine di migliaia di server potenzialmente compromessi.
L’accesso non autorizzato a questi sistemi mette a rischio diversi servizi integrati, come la posta elettronica Outlook e la piattaforma di comunicazione Teams, con la possibilità di furto di dati sensibili e credenziali. La società di sicurezza olandese Eye Security ha segnalato che gli attaccanti avrebbero ottenuto l’accesso a chiavi crittografiche che potrebbero permettere nuove incursioni anche dopo l’applicazione delle patch.
Attualmente, non è ancora stato identificato con certezza il gruppo responsabile dell’attacco né le sue finalità. Eye Security riferisce di oltre 50 violazioni monitorate, alcune delle quali avrebbero colpito una società energetica statunitense e istituzioni pubbliche europee. Le identità delle vittime non sono state rese note a causa di accordi di riservatezza.
Gli attacchi sono stati definiti “wiper” in alcuni contesti, anche se non sono state segnalate cancellazioni di dati nei casi finora analizzati. Gli hacker avrebbero invece concentrato le loro azioni sul furto di chiavi crittografiche, lasciando i sistemi vulnerabili a futuri accessi.
Le attività malevole sarebbero iniziate subito dopo la distribuzione di una patch correttiva da parte di Microsoft, suggerendo che gli attaccanti abbiano trovato una falla simile ancora non risolta. La Cybersecurity and Infrastructure Security Agency statunitense (CISA) ha confermato l’indagine in corso.