Negli ultimi giorni si è scatenata una problematica piuttosto rilevante in tutto il mondo a causa di una nuova, molto grave, vulnerabilità su una delle applicazioni maggiormente utilizzate della suite Office e Microsoft 365, ovvero SharePoint. Sorvolando sull’utilizzo che viene fatto dell’app, dall’inizio del mese di luglio è iniziata una serie di offensive che avrebbero potuto anche fare breccia in sistemi complessi di grandi aziende o enti statali.
La vulnerabilità CVE-2025-53770 scoperta sull’app di Microsoft è, per dirla brevemente, una falla di sicurezza che consente la scrittura e l’esecuzione di codice da remoto anche per utenti non autenticati. Laddove ci sia un ambiente esposto su internet e questa falla venisse sfruttata i problemi potrebbero diventare anche molto importanti, e questo è ciò che è avvenuto per mano di uno o più gruppi di criminali informatici, come denunciato dalla stessa società fondata da Bill Gates. Grazie ad una serie di richieste malevole ad una specifica pagina SharePoint gli attaccanti sarebbero in grado di compromettere anche in modo permanente i sistemi delle vittime, che possono rimediare solo con azioni risolutive di livello molto alto.
Nella rete sembrano essere finite tante aziende ed enti pubblici di tutto il mondo, ma in particolar modo negli Stati Uniti, dove sembra che siano coinvolte strutture federali, ospedali, scuole ed aziende dei settori più disparati, con un conteggio che segnala come ancora ci siano ottomila utenze vulnerabili ed attaccabili. La vicenda, è giusto specificarlo, riguarda soltanto coloro che utilizzano la versione on-premise di SharePoint, poiché la falla di sicurezza non è presente in quella esclusivamente online, ma sono già partiti i lanci degli aggiornamenti con patch per le versioni 2019 e 2016. Ciò, si raccomanda Microsoft, non è sufficiente ad eliminare del tutto i problemi, poiché una volta installato il tutto è importante effettuare altre azioni quali il controllo delle chiavi MachineKey, il riavvio dei propri sistemi e soprattutto una ricerca della possibile presenza di shell o altri segni di compromissione esterna.
Gli americani di CISA considerano questa vulnerabilità come molto grave e già sfruttata in modo attivo, arrivando a chiedere la disconnessione dei server esposti fin quando non si è giunti ad un rimedio, oltretutto gli esperti di Palo Alto Networks hanno dichiarato che coloro che utilizzano SharePoint su server esposti si deve considerare quasi sicuramente come colpito dal problema e quindi deve bonificare i sistemi ed effettuare tutte le analisi necessarie. L’azienda Microsoft ha accusato qualche giorno fa degli hacker cinesi di essere responsabili dello sfruttamento massiccio di questa falla di sicurezza che ha colpito, per stessa ammissione statunitense, anche un obiettivo sensibile come la NNSA, ovvero l’agenzia nazionale per la sicurezza nucleare. Via via che i giorni si susseguono continuano ad emergere alcuni particolari, come la presenza di più gruppi filogovernativi cinesi nella lista di coloro che hanno già sfruttato attivamente il problema.
Via via che passeranno i giorni si sapranno sicuramente più dettagli ed emergeranno verosimilmente, purtroppo, altre vittime di questa particolare vulnerabilità, che è stata comunque contrassegnata da un punteggio di 9.8 su 10 nel registro CVE e che è purtroppo ancora troppo “fresca” per dare analisi finali.
