L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603.
Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle non ancora documentate.
Il 18 luglio, l'attacco ha preso una piega più aggressiva, con la comparsa di web shell caricate nei server e la compromissione delle chiavi macchina dei sistemi, consentendo movimento laterale all'interno delle infrastrutture colpite.
Il 19 e 20 luglio, Microsoft ha rilasciato aggiornamenti più completi, includendo le vulnerabilità CVE-2025-53770 e CVE-2025-53771.Nel frattempo, l'intelligence statunitense e agenzie di sicurezza europee come ENISA e CERT-EU hanno emesso comunicati di emergenza, consigliando agli amministratori di isolare i sistemi compromessi, eseguire controlli forensi e solo successivamente applicare le patch.
Il 22 luglio Microsoft ha pubblicato un lungo rapporto sul blog di Threat Intelligence, in cui ha confermato con "alta fiducia" l'origine cinese dell'attacco e la presenza di almeno tre gruppi coinvolti. Storm-2603, in particolare, ha mostrato un'evoluzione tattica, passando dallo spionaggio all'uso di ransomware come Warlock, oltre al più noto LockBit.
Il 23 luglio, la stampa americana ha reso noto che tra le vittime vi erano anche enti governativi ad alta criticità, come il Dipartimento dell'Energia degli Stati Uniti, il National Institutes of Health, la National Nuclear Security Administration, e altre agenzie federali. Sono stati colpiti oltre 400 server in tutto il mondo, con vittime in USA, Germania, Paesi Bassi, Emirati Arabi e altre nazioni.
Il giorno successivo, 24 luglio, Microsoft ha confermato che l'attacco si era evoluto in una campagna ransomware attiva su scala globale. La complessità tecnica dell'azione, il numero elevato di CVE sfruttate, l'uso di tecniche di persistenza avanzata e la capacità di muoversi lateralmente all'interno delle reti aziendali indicano una preparazione sofisticata e una strategia a lungo termine.
Ciò che più colpisce, però, è la vulnerabilità ancora oggi diffusa nei sistemi on-premises, spesso non aggiornati, poco monitorati, considerati "stabili" e dunque abbandonati nella routine operativa. In Italia, dove molte amministrazioni pubbliche utilizzano SharePoint in modalità locale, l'allerta è alta anche se al momento non risultano compromissioni note. Questo attacco deve essere uno spartiacque per chi si occupa di sicurezza informatica a livello aziendale e istituzionale: non solo occorre aggiornare tempestivamente, ma anche sviluppare una cultura della resilienza digitale, dove ogni nodo della rete sia costantemente valutato, controllato, isolato se necessario. La difesa è un processo, non un prodotto. Microsoft ha fornito linee guida dettagliate, inclusa la rotazione delle machine key, il riavvio dei servizi IIS, l'attivazione del modulo AMSI e l'uso avanzato di Defender. Ma la responsabilità di proteggere le proprie infrastrutture, soprattutto se critiche, resta nelle mani di chi le gestisce ogni giorno. E gli attori malevoli, come abbiamo visto, non aspettano che sia troppo tardi.
Commenti
Posta un commento