Prima di procedere
Microsoft ha recentemente scoperto una pericolosa vulnerabilità zero-day nel suo noto software SharePoint, che ha innescato una serie di attacchi informatici che stanno mettendo a rischio la sicurezza di migliaia di server in tutto il mondo. Questa criticità nel sistema è stata individuata il 18 luglio 2025 dai ricercatori della società di sicurezza informatica Eye Security, specializzata nella difesa contro le minacce informatiche. La vulnerabilità consente ai cybercriminali di ottenere l'accesso ai server locali di SharePoint; ciò permette loro di rubare chiavi crittografiche cruciali e, di conseguenza, di acquisire un accesso non autorizzato alle infrastrutture delle vittime.
La presenza delle chiavi crittografiche rubate consente agli hacker di impersonare utenti legittimi, persino dopo un riavvio del server compromesso o dopo l'installazione dell'aggiornamento. Questo significa che i server che sono stati violati potrebbero continuare a rappresentare una minaccia significativa per le attività aziendali, anche dopo l'applicazione della patch. Tuttavia, è importante sottolineare che questa problematica non impatta la versione cloud del servizio SharePoint Online, ospitata sulla piattaforma Microsoft 365.
Gli hacker possono sfruttare questa vulnerabilità per trafugare dati sensibili, comprese le credenziali degli utenti. Inoltre, una volta che hanno accesso al sistema, possono muoversi all'interno della rete compromessa sfruttando altri servizi che spesso si connettono a SharePoint, come Outlook, Teams e OneDrive. Le origini della sceneggiatura usata negli attacchi sembrano essere basate su due vulnerabilità identificate durante il concorso di cybersecurity Pwn2Own tenutosi a maggio.
In risposta a questa minaccia grave, Microsoft ha prontamente rilasciato un aggiornamento di sicurezza per le versioni di SharePoint 2019 e SharePoint Subscription Edition, e continua a lavorare incessantemente sulla creazione di una patch per SharePoint 2016. Nel frattempo, l'Agenzia per la Cybersecurity e la Protezione delle Infrastrutture (CISA) degli Stati Uniti sta valutando l'ampiezza del problema. Le autorità hanno consigliato di disconnettere i server compromessi da internet finché la situazione non sarà chiarita e sotto controllo.
Lo scenario si complica ulteriormente con l'emergere di notizie secondo cui questa vulnerabilità di SharePoint è già attivamente utilizzata dai cybercriminali per attaccare agenzie federali e istituzioni municipali negli Stati Uniti e in altri paesi. Non solo, ma anche entità nel settore energetico, delle telecomunicazioni, università e altre organizzazioni a livello globale sono a rischio. Questo evento mette in luce quanto sia cruciale mantenere i sistemi aggiornati e implementare soluzioni di sicurezza robuste per proteggere le infrastrutture critiche da minacce sempre più sofisticate.
