Attacco globale a Sharepoint di Microsoft: come mitigare il rischio di ToolShell anche in Italia

Secondo quanto riferito da funzionari statali e ricercatori privati, gli hacker hanno sfruttato un’importante falla di sicurezza zero-day ToolShell nel popolare software dei server Microsoft, per sferrare un attacco globale ad agenzie governative ed aziende nei giorni scorsi. Almeno 75 i server già colpiti.

Anche Acn ha rilasciato l’alert, oltre all’allarme di Microsoft, FBI, CISA ed agenzie europee.

L’attacco ai server installati on-premises, quindi nel cloud, ha provocato violazioni ad agenzie federali e statali statunitensi, università, aziende energetiche e a una asiatica società di telecomunicazioni.

“Nella scala delle criticità, l’attacco scoperto in queste ore sfiora il livello massimo“, afferma in un post su LinkedIn Arturo Di Corinto dell’Acn. Il motivo è semplice: “SharePoint, infatti, è ben più di uno strumento tecnico: è il perimetro operativo dove transitano documenti strategici, procedure regolamentate, informazioni riservate e attività sensibili”, spiega Andrea Monti, direttore generale di Tinexta Cyber.

Ecco come proteggere i server Sharepoint di Microsoft che in Italia sono ovunque, dai Comuni agli enti pubblici, aziende e università, dalle gare d’appalto fino alle scuole.

Cyber attacco

Il governo degli Stati Uniti e i partner in Canada e Australia stanno indagando sulla compromissione dei server SharePoint, che forniscono una piattaforma per la condivisione e la gestione dei documenti.

Secondo gli esperti, decine di migliaia di questi server sono a rischio. Questo attacco “rappresenta un segnale molto chiaro per le imprese e le pubbliche amministrazioni: non è più sufficiente aggiornare i sistemi, bisogna saperli governare“, aggiunge Andrea Monti.

Il problema infatti “non è solo tecnico, è sistemico: affidiamo i nostri dati a colossi che continuano a mostrarsi vulnerabili, mentre le aziende – spesso senza segmentazione né monitoraggio – restano esposte come carne da macello”, mette in guardia Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0

I dettagli del cyber attacco ai server Microsoft

L’attacco punta a restare invisibile, infiltrandosi nella rete interna e muovendosi in maniera nascosta tra cartelle, utenti e credenziali. Gli hacker riescono perfino “a sottrarre le chiavi di sicurezza interne di SharePoint, che usano per continuare a entrare anche dopo che il problema sembra risolto”, avverte Marco Pugliese su LinkedIn.

L’attacco zero-day è solo l’ultimo caso di Microsoft in materia di sicurezza informatica.

“La vulnerabilità rilevata a metà luglio, pur nota e tecnicamente risolta da Microsoft, è stata sfruttata con grande rapidità da attori ostili, colpendo asset centrali per la gestione documentale di organizzazioni complesse“, sottolinea Andrea Monti.

I precedenti

L’anno scorso, l’azienda è stata accusata da un gruppo di esperti del governo e dell’industria statunitense di aver commesso errori che hanno permesso un attacco cinese mirato del 2023 alle e-mail del governo degli Stati Uniti, comprese quelle dell’allora segretario al commercio Gina Raimondo.

L’attacco più recente compromette solo i server ospitati all’interno di un’organizzazione, non quelli nel cloud, come Microsoft 365, hanno dichiarato i funzionari.

“Per molte realtà italiane è anche l’infrastruttura che supporta la conformità normativa, dal Gdpr alla direttiva NIS2, passando per DORA nel mondo finanziario”, evidenzia Andrea Monti.

Ma “in un contesto normativo sempre più stringente e in un’economia interconnessa, la protezione dei dati e la continuità operativa sono elementi centrali di competitività e affidabilità”, avverte il direttore generale di Tinexta Cyber.

Come mitigare il rischio di cyber attacco ai server Microsoft

Dopo aver suggerito agli utenti di apportare modifiche o semplicemente di scollegare i programmi del server SharePoint da Internet, domenica sera l’azienda ha rilasciato una patch per una versione del software.

Ma altre due versioni rimangono vulnerabili e Microsoft ha dichiarato che sta continuando a lavorare per sviluppare una patch. L’azienda ha rifiutato di rilasciare ulteriori commenti al Washington Post che l’aveva contattata.

Una volta controllato e verificato lo stato delle patch, occorre aggiornare, applicando ogni update che Microsoft abbia rilasciato per risolvere la falla.

“Chiunque abbia un server SharePoint in hosting ha un problema”, ha dichiarato Adam Meyers, vicepresidente senior di CrowdStrike, una società di sicurezza informatica. È una vulnerabilità significativa”.

L’FBI ha dichiarato in un comunicato di essere a conoscenza della questione: “Stiamo lavorando a stretto contatto con i nostri partner del governo federale e del settore privato”.

“Stiamo assistendo a tentativi di sfruttare migliaia di server SharePoint a livello globale prima che sia disponibile una patch”, ha inoltre dichiarato Pete Renals, senior manager dell’Unità 42 di Palo Alto Networks: “Abbiamo identificato decine di organizzazioni compromesse, sia nel settore commerciale che in quello governativo”.

I consigli

“È ora di smetterla con la fiducia cieca e passare a una sicurezza reale: Zero Trust, controllo continuo e responsabilità condivisa. Altrimenti non è questione di se, ma di quando”, conclude Sandro Sana.

Intanto conviene effettuare il monitoraggio dei log di SharePoint per scoprire eventuali anomalie nelle attività, accessi privi di autorizzazione o sospetti di modifiche ai file.

Infine sarebbe opportuno segmentare la rete, rivalutando i controlli di accesso per ostacolare eventuali movimenti laterali se il server fosse compromesso.

“Un attacco riuscito, anche limitato nel tempo, può generare conseguenze che travalicano il danno informatico: può comportare obblighi di notifica, indagini ispettive, blocchi operativi e impatti reputazionali non banali.

Questa vicenda conferma una necessità non più rinviabile: la sicurezza informatica deve diventare una responsabilità di vertice”, spiega Andrea Monti.

“Serve una cultura del rischio digitale che coinvolga i board, che valorizzi la collaborazione tra IT, compliance, legale e risk management, e che sia supportata da processi strutturati di prevenzione, risposta e rendicontazione. Non si tratta solo di chiudere una vulnerabilità, ma di rafforzare la resilienza di sistema”, conclude Andrea Monti.