Oltre 400 aziende nel mondo stanno subendo le conseguenze di un attacco informatico che sfrutta vulnerabilità critiche nei server Microsoft SharePoint. Tra le vittime più significative figura il Dipartimento dell'Energia statunitense, compresa l'Amministrazione Nazionale per la Sicurezza Nucleare (NNSA), l'ente responsabile della manutenzione dell'arsenale atomico americano. La portata degli attacchi, orchestrati secondo gli esperti da gruppi di cyberspie cinesi, ha sollevato preoccupazioni internazionali sulla sicurezza delle infrastrutture critiche.
L'anatomia di un attacco coordinato
Eye Security, la società olandese di sicurezza informatica che per prima ha lanciato l'allarme venerdì scorso, ha documentato quattro ondate successive di attacchi. La prima fase è iniziata il 17 luglio, proseguendo per due giorni consecutivi, mentre multiple ondate aggiuntive hanno preso il via dal 21 luglio. Secondo Check Point Research, il primo bersaglio di rilievo sarebbe stato un "governo occidentale di primo piano" colpito già il 7 luglio, suggerendo una pianificazione e una preparazione che risalgono a settimane fa.
La strategia degli attaccanti si è rivelata particolarmente sofisticata, prendendo di mira non solo enti governativi ma anche settori critici come le telecomunicazioni e l'industria del software. Un portavoce del Dipartimento dell'Energia ha confermato ufficialmente la violazione, segnalando come anche le istituzioni più sensibili dal punto di vista della sicurezza nazionale non siano rimaste immuni da questa campagna.
Le falle sfruttate dagli hacker
SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition sono risultati vulnerabili a causa di due specifiche falle di sicurezza. Microsoft ha tardato a riconoscere pubblicamente il problema, confermando gli exploit solo sabato sera, nonostante gli attacchi fossero già in corso da giorni. L'azienda di Redmond ha ammesso di essere "consapevole di attacchi attivi contro clienti con server SharePoint on-premises".
Le vulnerabilità sfruttate sono identificate come CVE-2025-53770, un bug di esecuzione remota del codice collegato alla precedente CVE-2025-49704, e CVE-2025-53771, una falla di bypass di sicurezza relativa alla CVE-2025-49706. Quando utilizzate in combinazione, queste vulnerabilità consentono agli aggressori di aggirare i sistemi di autenticazione ed eseguire codice malevolo attraverso la rete. La pericolosità della situazione è aumentata quando su GitHub è apparso un proof-of-concept che dimostra esattamente come concatenare le due vulnerabilità.
La risposta di Microsoft e le accuse alla Cina
Solo lunedì sera Microsoft ha rilasciato le correzioni per tutte e tre le versioni di SharePoint interessate, dopo giorni di sfruttamento attivo delle vulnerabilità. Sia Google che Microsoft hanno puntato il dito contro cyberspie cinesi e gruppi specializzati nel furto di proprietà intellettuale, con Microsoft che ieri ha lanciato un ulteriore avvertimento: "Altri attori potrebbero utilizzare questi exploit".
La gestione della crisi da parte del colosso di Redmond solleva interrogativi sulla tempestività della risposta alle minacce critiche. Nonostante le richieste di chiarimenti sul numero esatto di organizzazioni compromesse, Microsoft non ha fornito risposte immediate, mantenendo un silenzio che contrasta con la gravità della situazione. Questo episodio si aggiunge alla serie di problemi di sicurezza che hanno interessato i prodotti Microsoft negli ultimi mesi, evidenziando la necessità di una revisione più approfondita dei protocolli di sicurezza dell'azienda.
