L’attacco ha rivelato un “difetto di sicurezza” - una falla che pare non fosse nota agli sviluppatori – nel software di collaborazione Microsoft SharePoint. Ed è scattato l’allarme per la vulnerabilità - 9.8 su 10  che corrisponde al più alto livello delle minacce cyber nella scala Common Vulnerability Scoring System – il ranking di valutazione internazionale per misurare la gravità degli attacchi informatici. L’allarme rosso è stato diramato a seguito delle azioni informatiche malevole che hanno colpito server SharePoint in tutto il mondo, Italia compresa. 

Migliaia di enti governativi e aziende sono stati colpiti, a livello globale, dal potente attacco informatico su cui si staglia l’ombra di Pechino, secondo quanto riportato dal Washington Post che per primo aveva dato la notizia. La falla interessa solo le versioni Microsoft SharePoint installate direttamente nei server interni delle aziende - e non quelle in cloud come Microsoft 365 – e ha permesso agli hacker estrarre le chiavi crittografiche dai sistemi compromessi, garantendosi così la possibilità di ritornare nei sistemi colpiti grazie alle "backdoor".

La vulnerabilità rilevata viene soprannominata “ToolShell” A renderla particolarmente pericolosa è la possibilità di sfruttarla semplicemente inviando una richiesta web manipolata, senza bisogno di autenticazione. L’attacco - viene spiegato - si basa su un meccanismo usato da SharePoint per ricordare lo stato delle pagine tra una modifica e l’altra. In particolare, la vulnerabilità si trova nella pagina /ToolPane. Al suo interno, SharePoint rivela un campo nascosto nel quale memorizza informazioni sotto forma di oggetti codificati. Tuttavia, in assenza di controlli adeguati, questi dati possono essere manipolati da un attaccante, che inserisce al loro interno codice dannoso. Una volta ricevuto e processato dal server, il codice viene eseguito come se fosse legittimo. Sarebbero interessate tre versioni di SharePoint: Server subscritpion edition; Server 2019; Server 2016. L’attacco conferma come le piattaforme aziendali più diffuse rappresentino un bersaglio privilegiato per i cybercriminali.

Mandiant è la società Google specializzata in sicurezza informatica, ed è la fonte della notizia: la tipologia di attacco sferrato non lascia dubbi sulla presenza di cybercriminali legati ad ambienti governativi cinesi tra gli autori dell’azione “malevola”. Al momento non ci sono state rivendicazioni ma, rivela il Washington Post, il monitoraggio del traffico internet dimostra che alcuni server compromessi - localizzati negli Stati Uniti - hanno stabilito connessioni dirette con indirizzi IP situati in territorio cinese.  Le tecniche utilizzate ricordano quelle impiegate in precedenti operazioni cibernetiche condotte da Pechino nel 2021, che furono attribuite a “Silk Typhoon”, fra i più sofisticati a livello mondiale.

Gli esperti classificano come “zero-day” la natura dell’attacco. Significa che la vulnerabilità non era nota ai produttori al momento dell’infiltrazione – Microsoft e Share Point non ne erano a conoscenza – e di conseguenza non c’era nessuna misura di difesa preventiva da attuare. rendendo impossibile ogni forma preventiva di difesa. Di fronte alla gravità dell’emergenza, Microsoft ha rilasciato in tempi stretti delle patch di sicurezza per SharePoint Server 2019 e per la Subscription Edition. Tuttavia, la versione 2016 risulta ancora vulnerabile. 

Questo ha sollevato non poche polemiche: alcuni esperti evidenziano che il ritardo nel rilascio delle correzioni ha dato agli attaccanti un vantaggio decisivo. Inoltre, l’installazione delle patch non basta a garantire la rimozione della minaccia. I criminali, infatti, potrebbero aver già sottratto chiavi crittografiche che consentirebbero loro di accedere nuovamente anche dopo l’aggiornamento del sistema.

Secondo quanto riportato dal Washington Post, il cyberattacco ha avuto portata globale, coinvolgendo agenzie governative statunitensi, società energetiche, istituzioni accademiche e perfino un parlamento statale americano. Tra i server presi di mira anche quelli interni a una compagnia asiatica di telecomunicazioni. Ad essere più colpiti, al momento, sono stati gli Stati Uniti. 

Diverse agenzie federali e statali sono state compromesse, alcune hanno riferito di essere state "spogliate" di un archivio di documenti pubblici fondamentali per la trasparenza amministrativa: il materiale è ora inaccessibile e si teme possa essere stato cancellato. E non si tratta solo di furti di dati, c’è il concreto rischio di azioni di sabotaggio, spionaggio industriale o “wiping” - cancellazione completa di contenuti – e il fenomeno potrebbe riguardare università, aziende energetiche. A livello globale alcuni problemi sono stati rilevati anche da enti pubblici in Spagna, un’università in Brasile e una compagnia di telecomunicazioni asiatica. In Italia non sono stati finora segnalati casi confermati, ma vista la diffusione del software vulnerabile anche nel nostro Paese, il rischio è tutt’altro che remoto.

L’Agenzia per la Cybersicurezza Nazionale (Acn) ha diramato un bollettino di allerta, confermando la presenza di attacchi attivi e invitando a intervenire con urgenza per arginare i danni. L’Agenzia ha reso inoltre disponibili – in tempo reale sui suoi canali social ufficiali -  gli aggiornamenti di Microsoft per tutte le versioni di Sharepoint interessate. “Microsoft ha rilasciato aggiornamenti di sicurezza per 2 vulnerabilità che interessano il prodotto SharePoint – si legge sul sito dell’ACN - nota piattaforma di collaborazione e gestione file, che consentono a un attaccante remoto non autenticato di eseguire codice arbitrario sulle istanze target”. 

Pare quindi che compromettere un server SharePoint senza doversi accreditare con specifiche credenziali di sicurezza sia possibile, anzi sia già stato fatto. E questo mette in evidenza la necessità di agire tempestivamente in materia di sicurezza IT, per evitare compromissioni di servizi, furti di dati o attacchi informatici classici come la diffusione di malware nella rete interna.

Il caso SharePoint dimostra che le vulnerabilità nei software critici possono diventare armi digitali in mano a governi ostili. La capacità dei gruppi cinesi di identificare e sfruttare in tempi rapidissimi queste falle – a volte in poche ore – mette a nudo la fragilità dei sistemi occidentali. Questo attacco informatico è anche un campanello d’allarme per le istituzioni e le imprese, che devono ormai considerare la cybersicurezza una priorità strategica.