Attacchi zero-day su SharePoint: Allarme rosso
Ci risiamo: “Zero-Day”.
E deve essere allarme rosso.
Ogni nuova vulnerabilità scoperta, ogni exploit ancora privo di contromisure, è una porta aperta per attacchi silenziosi e devastanti.
Come da prassi, è accaduto nel weekend 18-20 luglio, con la scoperta dello sfruttamento attivo da parte di gruppi hacker di una grave falla di sicurezza nei server SharePoint on-premises, che ha già messo in allerta aziende e istituzioni a livello globale.
Microsoft ha già rilasciato aggiornamenti di emergenza per le vulnerabilità CVE-2025-53770 e CVE-2025-53771, disponibili per SharePoint Server Subscription Edition e 2019.
Tuttavia, la versione 2016 resta al momento senza patch, lasciando temporaneamente un ampio numero di installazioni esposte.
A peggiorare la situazione è un dettaglio tecnico spesso sottovalutato ma critico: la rotazione delle chiavi ASP.NET.
Senza la sostituzione delle chiavi, anche dopo l’installazione della patch l’attaccante può mantenere l’accesso al sistema. Una backdoor invisibile ma spalancata.
In parole semplici, con la prima vulnerabilità, SharePoint accetta dati da fonti esterne senza verificarli correttamente, permettendo a un attaccante di inviare istruzioni che il server interpreta ed esegue, aprendo la porta all’esecuzione di codice malevolo.
Combinando questa debolezza con la seconda, che permette di mascherare l’identità dell’attaccante e ingannare il sistema, un hacker può ottenere il pieno controllo da remoto del server SharePoint, accedendo a file, configurazioni e contenuti riservati.
Gli attacchi si sono concentrati in USA, Germania, Francia e Australia, ma la minaccia è globale.
Sono numerose le organizzazioni sensibili compromesse, in cui sono state rilevate backdoor persistenti in ambienti teoricamente blindati e sottrazione di chiavi crittografiche.
Una volta patchato e verificato, sarà il caso di iniziare a riflettere sulla correttezza della tendenza ad affidare tutte le informazioni ai sistemi di un solo grande gestore ed al rischio di concentrazione che ne deriva.
Molte organizzazioni adottano tecnologie che affidano alla stessa società i propri dati e ne centralizzano la gestione — vedi il caso di SharePoint on-premises — creando così un paniere unico e che diventa particolarmente appetibile per gli attaccanti.
L’assioma del triangolo mezzi-opportunità-motivazioni dovrebbe ricordarcelo.
Non è una questione di dimensione o notorietà: quando la superficie d’attacco è condivisa e scalare, le informazioni appetibili, con i giusti finanziamenti, mezzi e conoscenze anche i grandi diventano vulnerabili, come da tempo sussurrano le cronache cyber.
Tornando alla vulnerabilità specifica, di fronte a minacce di questo calibro, una semplice applicazione della patch è solo il primo passo. Le organizzazioni dovrebbero implementare un approccio di difesa a strati, che includa:
- Rotazione delle chiavi di crittografia per invalidare accessi non autorizzati
- Eseguire scansioni approfondite anti-malware
- Monitorare log e traffico interno per rilevare attività anomale post-exploit.
- Segmentazione della rete e applicazione del principio del minimo privilegio, per limitare i danni in caso di compromissione.
- Aggiornare e testare i Piani di risposta agli incidenti, con isolamento immediato dei sistemi colpiti, analisi forense e comunicazione trasparente alle autorità, come disperatamente sta cercando di far comprendere la direttiva NIS2.
È bene precisarlo: secondo Microsoft la versione cloud-based di SharePoint (Online) non è interessata dalla vulnerabilità. Tuttavia questo rafforza una riflessione di fondo: ogni implementazione richiede uno sforzo continuo di monitoraggio personale per restare sicura, a prescindere dall’entità dell’organizzazione.
Qui le schede delle vulnerabilità e relativo patching Microsoft
https://nvd.nist.gov/vuln/detail/CVE-2025-53770
https://nvd.nist.gov/vuln/detail/CVE-2025-53771
#zeroday #sharepoint #patching #cybersecurity
