Violazioni di sicurezza informatica in tutto il mondo dopo che il server Microsoft è sotto accatto hacker (di nuovo).
Degli hacker non identificati hanno sfruttato una falla di sicurezza in SharePoint, diffuso software per server sviluppato dal colosso tech, per lanciare un attacco globale contro agenzie governative e aziende.
Lo ha riportato per primo il Washington Post, secondo cui la violazione ha interessato agenzie federali e statali statunitensi, università, aziende energetiche e un’azienda di telecomunicazioni asiatica, citando funzionari statali e ricercatori privati. L’attacco è noto come attacco “zero day” perché ha preso di mira una vulnerabilità precedentemente sconosciuta, rileva il Wp.
Gli Stati Uniti, il Canada e l’Australia stanno indagando sulla compromissione dei server di SharePoint per la condivisione e la gestione dei documenti. Secondo gli esperti, migliaia di questi server sono a rischio.
Non è chiaro chi ci sia dietro gli attacchi e quale sia il loro obiettivo finale, sostiene ancora il Washington Post.
Come ricorda Bloomberg, il produttore di software con sede a Redmond ha dovuto affrontare una serie di recenti attacchi informatici, avvertendo a marzo che hacker cinesi stavano prendendo di mira strumenti di gestione remota e applicazioni cloud per spiare una serie di aziende e organizzazioni negli Stati Uniti e all’estero.
Tutti i dettagli.
VIOLAZIONE CIBERNETICA IN OLTRE 10MILA AZIENDE CON SERVER SHAREPOINT IN TUTTO IL MONDO
In un avviso emesso sabato, Microsoft ha affermato che le vulnerabilità si applicano solo ai server SharePoint utilizzati all’interno delle organizzazioni. Ha affermato che SharePoint Online in Microsoft 365, che si trova nel cloud, non risulta colpito dagli attacchi.
Le aziende di sicurezza informatica hanno avvertito che un’ampia fascia di organizzazioni in tutto il mondo potrebbe essere interessata dalla violazione. Silas Cutler, ricercatore presso l’azienda di sicurezza informatica Censys, con sede nel Michigan, ha stimato che oltre 10.000 aziende con server SharePoint siano a rischio. Gli Stati Uniti ne ospitano il maggior numero, seguiti da Paesi Bassi, Regno Unito e Canada, ha aggiunto.
COSA È SUCCESSO
Eye Security ha affermato che la vulnerabilità consente agli hacker di accedere ai server di SharePoint e rubare chiavi che consentono loro di impersonare utenti o servizi anche dopo l’applicazione di patch al server, riporta Bloomberg. Ha affermato che gli hacker possono mantenere l’accesso tramite backdoor o componenti modificati in grado di sopravvivere ad aggiornamenti e riavvii dei sistemi.
Palo Alto Networks Inc. ha avvertito che “questi exploit sono reali, in-the-wild e rappresentano una seria minaccia”. Google Threat Intelligence Group ha dichiarato in una nota via e-mail di aver osservato hacker che sfruttavano la vulnerabilità, aggiungendo che consente “un accesso persistente e non autenticato e rappresenta un rischio significativo per le organizzazioni interessate”.
LA POSIZIONE DELLA CISA
La vulnerabilità ha consentito agli hacker di accedere ai file system e alle configurazioni interne, nonché di eseguire codice, ha affermato la Cybersecurity and Infrastructure Security Agency (Cisa), l’agenzia di sicurezza informatica e di sicurezza delle infrastrutture degli Stati Uniti.
LA REAZIONE DI MICROSOFT ALL’ATTACCO HACKER
Il produttore di software guidato da Satya Nadella ha dichiarato di aver rilasciato una nuova patch di sicurezza che i clienti possono applicare ai propri server SharePoint “per mitigare gli attacchi attivi ai server locali”, aggiungendo che sta lavorando per implementarne altre.
“Abbiamo collaborato strettamente con Cisa, Dod Cyber Defense Command e i principali partner per la sicurezza informatica a livello globale durante la nostra risposta”, ha dichiarato un portavoce di Microsoft, aggiungendo che l’azienda ha rilasciato aggiornamenti di sicurezza e ha esortato i clienti a installarli immediatamente.
PROBLEMI DI REPUTAZIONE PER IL COLOSSO DI REDMOND
La violazione si aggiunge ad altri incidenti di sicurezza abbattutisi su Microsoft, uno dei maggiori fornitori di tecnologia per i governi, che ha subito altri gravi attacchi negli ultimi due anni, tra cui violazioni delle proprie reti aziendali e delle email dei dirigenti.
Ad aprile del 2024 un severo rapporto del Cyber Safety Review Board (CSRB), un gruppo incaricato dalla Casa Bianca e progettato per esaminare i principali attacchi informatici, ha affermato che la “cultura della sicurezza di Microsoft era inadeguata” a seguito dell’attacco informatico del 2023 alle caselle di posta di Exchange Online dell’azienda. In quell’incidente, gli hacker riuscirono a violare i dati di 22 organizzazioni e centinaia di individui, tra cui l’ex Segretario al Commercio degli Stati Uniti Gina Raimondo.
Pertanto, il rapporto sosteneva l’urgenza di “una revisione, soprattutto alla luce della centralità dell’azienda nell’ecosistema tecnologico e del livello di fiducia che i clienti ripongono nell’azienda per proteggere i propri dati e le proprie operazioni”.
IL COMMENTO DEGLI ESPERTI
Nel frattempo, Microsoft ha raccomandato ai clienti di installare immediatamente gli aggiornamenti di sicurezza.
“Quando riescono a compromettere la fortezza che è SharePoint, ognuno è libero di fare ciò che vuole, perché è uno dei protocolli di sicurezza più elevati in circolazione”, ha affermato Gene Yu, CEO di Blackpanda, società di risposta agli incidenti informatici con sede a Singapore, riporta ancora Bloomberg.
“Nei giorni successivi allo smantellamento del collettivo filorusso NoName057(16), un attacco informatico su larga scala ha colpito oltre 50 organizzazioni in tutto il mondo: agenzie governative, aziende energetiche, sanità, finanza, telecomunicazioni” ha osservato in un post su Linkedin Pierguido Iezzi, esperto di cybersecurity. “L’exploit utilizzato non era nuovo, ma una variante di una vulnerabilità già corretta e poi riattivata tramite un bypass tecnico. La precisione operativa, la selezione dei target e la tempistica pongono interrogativi legittimi: non ci sono ancora certezze sull’attribuzione, ma non possiamo ignorare la coerenza con dinamiche già viste in contesti di guerra ibrida e cyber strategica.
Secondo Iezzi “Queste campagne non servono solo a compromettere infrastrutture: sono strumenti per osservare, misurare e analizzare la nostra capacità di reazione, oppure rappresentano vere e proprie controffensive digitali, pensate come risposta a pressioni precedenti, non sempre simmetriche né dichiarate. Ogni attacco di questo tipo è anche un’indagine strategica: raccoglie informazioni sui nostri tempi, le nostre decisioni, il nostro coordinamento”.
Ecco perché per l’esperto di cybersecurity italiano “È ormai indispensabile costruire una Defensive Bubble europea: una capacità distribuita, resiliente e permanente, in grado non solo di proteggere, ma di rispondere in modo coordinato anche mentre l’attacco è in corso”.
