Di recente, un’ondata di attacchi informatici ha messo in ginocchio numerosi enti in tutto il mondo. Quest’ultimi sono stati realizzati sfruttando una vulnerabilità nei server SharePoint on-premise. L’incidente che ha coinvolto anche la National Nuclear Security Administration (NNSA). L’agenzia americana incaricata della gestione dell’arsenale nucleare ha riacceso i riflettori sulla pericolosità di alcune vulnerabilità ancora presenti nei sistemi IT tradizionali. Anche se non risultano compromissioni di informazioni sensibili, il solo coinvolgimento di un’infrastruttura così delicata rivela la gravità della minaccia.
La vulnerabilità SharePoint colpisce anche la NNSA
Le analisi condotte da Microsoft attribuiscono l’attacco a gruppi legati allo Stato cinese. Tra cui Linen Typhoon, Violet Typhoon e Storm-2603. Gli aggressori hanno condotto una campagna mirata, evitando i servizi cloud e puntando invece sui server on-premise. Tecnologia ancora molto diffusa nelle pubbliche amministrazioni e in ambiti strategici dove è necessario mantenere un controllo diretto sui dati e sull’infrastruttura.
Il caso SharePoint ha dimostrato come la presenza di ambienti legacy, spesso sottoposti a cicli di aggiornamento più lenti, possa offrire un punto d’ingresso estremamente vantaggioso per gli attori malevoli. Microsoft, dopo un primo rilascio parziale delle patch di sicurezza, ha esteso le correzioni anche alla versione 2016 di SharePoint Server, lasciata inizialmente fuori dal ciclo di aggiornamento. Nonostante ciò, gli esperti avvertono che l’installazione degli aggiornamenti non basta a garantire la sicurezza. Infatti, in diversi casi i sistemi compromessi contenevano elementi persistenti capaci di sopravvivere anche ai riavvii o agli update.
Le raccomandazioni di Microsoft puntano ora su contromisure più incisive. Viene consigliata, ad esempio, la rotazione immediata delle machine key e l’attivazione della protezione AMSI in modalità estesa. Inoltre, si chiede alle organizzazioni di disconnettere qualsiasi server SharePoint on-premise ancora accessibile da Internet. Ciò per evitare ulteriori infiltrazioni. Un singolo punto di compromissione, infatti, può espandersi rapidamente, dando origine a una catena di violazioni.
