Il Governo degli Stati Uniti, insieme ai partner in Canada e Australia, sta indagando sul grave attacco informatico che ha colpito agenzie governative e aziende a livello globale, sfruttando una vulnerabilità critica nei server Microsoft SharePoint, ampiamente utilizzati per la condivisione e gestione di documenti.
La notizia, diffusa dal Washington Post, spiega che tra le vittime figurano agenzie federali e statali USA, università, società energetiche e una compagnia di telecomunicazioni asiatica.
Un attacco “zero-day” di ampia portata
L’operazione è stata classificata come attacco “zero-day”, cioè sfruttando una vulnerabilità sconosciuta. Sono già state tracciate oltre 50 violazioni confermate, che riguardano agenzie governative europee, università, società energetiche e almeno due agenzie federali statunitensi. Alcuni attacchi hanno causato il blocco di archivi documentali pubblici destinati ai cittadini, e in più casi si sospetta il furto di dati sensibili e credenziali.
Le autorità di diversi stati USA, come l’Arizona, hanno convocato task force di emergenza per valutare le vulnerabilità e coordinare le contromisure, mentre il Center for Internet Security ha avvertito circa 100 organizzazioni, tra cui scuole pubbliche e università.
ACN: vulnerabilità critica su Microsoft SharePoint, già sfruttata attivamente
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha diffuso un bollettino su due vulnerabilità che interessano Microsoft SharePoint, la nota piattaforma di collaborazione e gestione documentale. Particolarmente critica la CVE‑2025‑53770, già sfruttata attivamente in rete, classificata come “Remote Code Execution” con punteggio CVSS v3.x pari a 9.8 su una scala fino a 10.
La falla, individuata nel framework ASP.NET utilizzato da SharePoint, è dovuta alla deserializzazione di dati non attendibili e può essere sfruttata da un attaccante remoto non autenticato attraverso richieste HTTP POST mirate alla risorsa:
/layouts/15/ToolPane.aspx?DisplayMode=Edit
Questa pagina, impiegata per la gestione delle Web Part, utilizza il campo nascosto __VIEWSTATE per serializzare oggetti .NET e mantenere lo stato della pagina. Se i dati non sono firmati o validati, l’attaccante può inviare un payload malevolo che, una volta deserializzato, consente l’esecuzione di codice arbitrario sul sistema bersaglio.
Le versioni vulnerabili includono Microsoft SharePoint Server Subscription Edition, 2019 e 2016. ACN e Microsoft raccomandano di applicare senza ritardi gli aggiornamenti di sicurezza, bloccare e monitorare le richieste sospette verso ToolPane.aspx, verificare che AMSI (Antimalware Scan Interface) sia attivo e procedere alla rotazione delle machine keys di ASP.NET. Si consiglia inoltre di implementare gli Indicatori di Compromissione (IoC) diffusi da Microsoft e CISA per individuare eventuali compromissioni già avvenute.
Microsoft nel mirino per le falle di sicurezza
Non è la prima volta che Microsoft finisce sotto accusa per la gestione delle vulnerabilità. Già nel 2023, un panel di esperti statunitensi aveva criticato l’azienda per le falle che avevano consentito un attacco cinese contro email governative. Negli ultimi due anni sono state segnalate altre violazioni delle reti interne e dei sistemi cloud dell’azienda.
Venerdì scorso, Microsoft ha anche annunciato che non utilizzerà più ingegneri con sede in Cina per supportare programmi cloud del Dipartimento della Difesa USA, dopo un’inchiesta di ProPublica che ha portato il Pentagono ad avviare una revisione dei contratti cloud.
