Falla critica nei server Microsoft: compromesse agenzie federali, aziende globali e dati sensibili. Esperti: “È un attacco coordinato, ma il colpevole resta nell’ombra”.
Una minaccia silenziosa e globale
Segnato un punto critico nella sicurezza informatica mondiale. Un attacco hacker su larga scala ha colpito i server Microsoft SharePoint, piattaforma utilizzata da agenzie federali statunitensi, istituzioni pubbliche e aziende private di tutto il mondo. A lanciare l’allarme è stata la stessa Microsoft, che ha parlato di “attacchi attivi” in corso, dopo aver rilevato l’utilizzo di una vulnerabilità non ancora sanata.
L’exploit sfrutta due falle gravi – identificate come CVE-2025-23334 e CVE-2025-23337 – che permettono a malintenzionati di eseguire codice remoto con privilegi elevati, senza autenticazione. Si tratta di vulnerabilità classificate con punteggio di 9.8 su 10 nella scala CVSS, indice massimo di gravità. Il livello è tale da configurare una “tempesta perfetta”, come l’ha definita Pierluigi Paganini, esperto di cybersecurity e docente alla Luiss.
Obiettivi strategici: chi è stato colpito
Secondo l’analisi del motore di ricerca Shodan, sarebbero oltre 8.000 i server potenzialmente compromessi. A essere presi di mira sono stati: un parlamento statale americano, almeno due agenzie federali statunitensi, strutture governative in Australia e Canada, enti finanziari, ospedali e aziende di revisione in Asia ed Europa.
Una delle prime evidenze suggerisce che l’attacco non sia opera di bande criminali generiche, ma di un attore unico e ben organizzato. “Le tecniche sono omogenee e indicano la mano di un solo gruppo”, ha dichiarato Rafe Pilling, direttore di Sophos.
Microsoft sotto pressione: aggiornamenti e ritardi
Microsoft, che aveva dichiarato di aver risolto problemi simili in SharePoint, si trova ora a fronteggiare nuove critiche. Il gruppo ha rilasciato aggiornamenti di sicurezza straordinari, confermati dalla CISA e dal CSIRT italiano.
Le patch risolvono le due vulnerabilità utilizzate per l’exploit e sono accompagnate da indicatori di compromissione (IoC) per aiutare gli amministratori IT. Tuttavia, il tempo trascorso prima del rilascio degli aggiornamenti potrebbe aver permesso la fuga di dati sensibili.
FBI e intelligence al lavoro, ma il nemico è invisibile
L’FBI ha comunicato di essere “a conoscenza dell’attacco” e di collaborare con partner federali e privati per contenere i danni. Nessun dettaglio ufficiale è stato divulgato sull’origine dell’attacco.
L’ipotesi che circola è quella di una vendetta per lo smantellamento della rete NoName057, gruppo di hacktivisti filorussi neutralizzato nei mesi scorsi. Ma la pista resta incerta. “È troppo presto per attribuzioni ufficiali”, ha ribadito Paganini, sottolineando che le modalità possono essere imitate anche da altri attori.
I precedenti: la lunga scia degli attacchi supply chain
L’incidente rientra nella tipologia degli attacchi supply chain, ovvero quelli che colpiscono un fornitore strategico per penetrare a cascata tra i suoi clienti. È lo stesso modello dell’attacco SolarWinds del 2020, attribuito a gruppi vicini all’intelligence russa.
Nel caso SharePoint, la portata è ancora da determinare, ma si teme un effetto domino. “Se gli attori malevoli hanno avuto accesso persistente ai server, possono aver installato backdoor, sottratto credenziali o alterato i flussi di comunicazione tra enti”, ha dichiarato Bryan Vorndran, vice direttore della divisione cyber dell’FBI.
Italia: “Monitoraggio continuo”, ma allerta massima
Il CSIRT italiano ha dichiarato che non risultano impatti critici nei sistemi pubblici italiani, ma è in corso una verifica continua. Diverse aziende private stanno adottando contromisure consigliate da Microsoft, incluse restrizioni temporanee su SharePoint e analisi forense dei log.
La nuova geopolitica della cybersicurezza
A preoccupare è anche il contesto geopolitico: le tensioni Usa-Cina sono di nuovo ai massimi, mentre la Russia resta attivissima nel cyberspazio. Ogni breccia tecnologica rischia di diventare un’arma ibrida.
“Gli attacchi informatici non servono solo a rubare dati, ma a destabilizzare, infiltrare e colpire la fiducia nei sistemi occidentali”, ha commentato Nicole Perlroth, analista di sicurezza. “Ed è proprio la fiducia che oggi è stata compromessa”.
Un campanello d’allarme globale
Il caso SharePoint è l’ennesima conferma della fragilità delle infrastrutture digitali. Nonostante gli aggiornamenti tempestivi, il ritardo nella risposta potrebbe aver permesso la compromissione irreversibile di documenti riservati.
Senza una vera cultura della cybersicurezza, investimenti a lungo termine e cooperazione internazionale, gli attacchi continueranno a colpire. E la domanda che resta è la più inquietante: cosa vogliono farne, ora, di quei dati?