Attacco globale a Sharepoint di Microsoft: come mitigare il rischio di ToolShell anche in Italia

Secondo quanto riferito da funzionari statali e ricercatori privati, gli hacker hanno sfruttato un’importante falla di sicurezza zero-day ToolShell nel popolare software dei server Microsoft, per sferrare un attacco globale ad agenzie governative ed aziende nei giorni scorsi. Almeno 75 i server già colpiti.

Anche Acn ha rilasciato l’alert, oltre all’allarme di Microsoft, FBI, CISA ed agenzie europee.

L’attacco ai server installati on-premises, quindi nel cloud, ha provocato violazioni ad agenzie federali e statali statunitensi, università, aziende energetiche e a una asiatica società di telecomunicazioni.

“Nella scala delle criticità, l’attacco scoperto in queste ore sfiora il livello massimo”, afferma in un post su LinkedIn Arturo Di Corinto dell’Acn.

Ecco come proteggere i server Sharepoint di Microsoft che in Italia sono ovunque, dai Comuni agli enti pubblici, aziende e università, dalle gare d’appalto fino alle scuole.

Cyber attacco

Il governo degli Stati Uniti e i partner in Canada e Australia stanno indagando sulla compromissione dei server SharePoint, che forniscono una piattaforma per la condivisione e la gestione dei documenti.

Secondo gli esperti, decine di migliaia di questi server sono a rischio.

L’attacco punta a restare invisibile, infiltrandosi nella rete interna e muovendosi in maniera nascosta tra cartelle, utenti e credenziali. Gli hacker riescono perfino “a sottrarre le chiavi di sicurezza interne di SharePoint, che usano per continuare a entrare anche dopo che il problema sembra risolto”, avverte Marco Pugliese su LinkedIn.

L’attacco “zero-day”, così chiamato perché ha preso di mira una vulnerabilità precedentemente sconosciuta, è solo l’ultimo caso di Microsoft in materia di sicurezza informatica.

I precedenti

L’anno scorso, l’azienda è stata accusata da un gruppo di esperti del governo e dell’industria statunitense di aver commesso errori che hanno permesso un attacco cinese mirato del 2023 alle e-mail del governo degli Stati Uniti, comprese quelle dell’allora segretario al commercio Gina Raimondo.

L’attacco più recente compromette solo i server ospitati all’interno di un’organizzazione, non quelli nel cloud, come Microsoft 365, hanno dichiarato i funzionari.

Come mitigare il rischio di cyber attacco ai server Microsoft

Dopo aver suggerito agli utenti di apportare modifiche o semplicemente di scollegare i programmi del server SharePoint da Internet, domenica sera l’azienda ha rilasciato una patch per una versione del software.

Ma altre due versioni rimangono vulnerabili e Microsoft ha dichiarato che sta continuando a lavorare per sviluppare una patch. L’azienda ha rifiutato di rilasciare ulteriori commenti al Washington Post che l’aveva contattata.

Una volta controllato e verificato lo stato delle patch, occorre aggiornare, applicando ogni update che Microsoft abbia rilasciato per risolvere la falla.

“Chiunque abbia un server SharePoint in hosting ha un problema”, ha dichiarato Adam Meyers, vicepresidente senior di CrowdStrike, una società di sicurezza informatica. È una vulnerabilità significativa”.

L’FBI ha dichiarato in un comunicato di essere a conoscenza della questione: “Stiamo lavorando a stretto contatto con i nostri partner del governo federale e del settore privato”.

“Stiamo assistendo a tentativi di sfruttare migliaia di server SharePoint a livello globale prima che sia disponibile una patch”, ha inoltre dichiarato Pete Renals, senior manager dell’Unità 42 di Palo Alto Networks: “Abbiamo identificato decine di organizzazioni compromesse, sia nel settore commerciale che in quello governativo”.

Intanto conviene effettuare il monitoraggio dei log di SharePoint per scoprire ewventuali anomalie nelle attività, accessi privi di autorizzazione o sospetti di modifiche ai file.

Infine sarebbe opportuno segmentare la rete, rivalutando i controlli di accesso per ostacolare eventuali movimenti laterali se il server fosse compromesso.