Microsoft mette in guardia le aziende dalle vulnerabilità dei server SharePoint | Attacco hacker cinese

Microsoft sta mettendo in allerta le aziende da nuovi pericolosi attacchi ai server SharePoint in corso nel week-end.

24 LUGLIO 2025 | In seguito agli attacchi hacker degli scorsi giorni Microsoft ha osservato che uno degli autori dell’attacco sta sfruttando la vulnerabilità per diffondere dei ransomware rendendo l’accaduto ancora più grave per la sicurezza.

A partire dal 18 luglio 2025, Microsoft ha osservato Storm-2603 distribuire ransomware sfruttando queste vulnerabilità.

Secondo alcune fonti l’attacco avrebbe avuto un impatto maggiore di quanto pensato inizialmente, su oltre 400 server e circa 150 organizzazioni, colpendo importanti obiettivi statali quali l’agenzia per le armi nucleari, il dipartimento di istruzione e l’istututo sanitario statunitensi.

22 LUGLIO 2025 | Dopo il rilascio delle patch di emergenza Microsoft ha pubblicato un resoconto dell’accaduto chiarendo che gli autori delle attacchi ToolShell ai server SharePoint sono di origine cinese – trovate maggiori dettagli e una guida alla mitigazione a questo indirizzo.

Microsoft ha osservato due attori di stati nazionali cinesi, Linen Typhoon e Violet Typhoon, che sfruttano queste vulnerabilità prendendo di mira i server SharePoint connessi a Internet. Inoltre, abbiamo osservato un altro attore di minacce con sede in Cina, identificato come Storm-2603, che sfrutta queste vulnerabilità. 

Attacchi “ToolShell” ai server SharePoint

Un gruppo di cyber-criminali sta sfruttando gli exploit di due falle 0-day scoperte a maggio durante un evento di hacking per colpire i server SharePoint e ottenere accesso remoto con il rischio di un furto di dati sensibili. Le correzioni delle falle CVE-2025-53770 e CVE-2025-53771 rilasciate a inizio luglio sono state bypassate sono state sfruttate attivamente a partire dal 18 luglio con una stima di almeno 85 server già compromessi nel mondo di agenzie federali e statali, università, aziende energetiche e  telecomunicazioni.

Microsoft è a conoscenza di attacchi attivi rivolti ai clienti di SharePoint Server on-premise sfruttando vulnerabilità parzialmente risolte dall’aggiornamento di sicurezza di luglio

Microsoft ha prontamente rilasciato una nuova patch di emergenza per correggere entrambe le vulnerabilità e raccomanda agli amministratori di tenere aggiornati i sistemi.

Microsoft ha rilasciato aggiornamenti di sicurezza che proteggono completamente i clienti che utilizzano SharePoint Subscription Edition e SharePoint 2019 dai rischi rappresentati da CVE-2025-53770 e CVE-2025-53771. 

Trovate maggiori dettagli sulla vicenda e sulle vulnerabilità sfruttate a questo indirizzo. Cosa ne pensate di questi problemi di sicurezza? Fateci sapere la vostra opinione nei commenti.

Articolo di Windows Blog Italia