SharePoint: Microsoft conferma attacchi dalla Cina (update)
Topic
Approfondimenti
Trending
tutti

SharePoint: Microsoft conferma attacchi dalla Cina (update)

Microsoft ha confermato che alcuni attacchi contro i server SharePoint sono stati effettuati dai gruppi cinesi Linen Typhoon, Violet Typhoon e Storm-2603.
SharePoint: Microsoft conferma attacchi dalla Cina (update)
Sicurezza
Microsoft ha confermato che alcuni attacchi contro i server SharePoint sono stati effettuati dai gruppi cinesi Linen Typhoon, Violet Typhoon e Storm-2603.
Wikipedia

Diversi ricercatori avevano svelato che alcuni attacchi contro i server SharePoint sono stati effettuati da cybercriminali cinesi. Ora è arrivata la conferma ufficiale da Microsoft. Al momento sono stati individuati tre gruppi: Linen Typhoon, Violet Typhoon e Storm-2603. L’azienda di Redmond ha descritto le vulnerabilità in dettaglio e fornito una guida per implementare le misure protettive.

Exploit cinesi in circolazione

Microsoft ha rilasciato le patch di sicurezza per SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server Subscription Edition che risolvono le vulnerabilità zero-day CVE-2025-53770 e CVE-2025-53771 correlate alle precedenti CVE-2025-49706 e CVE-2025-49704. Sono interessati solo i server on-premises (gestiti localmente dalle aziende), non SharePoint Online in Microsoft 365.

Gli exploit in circolazione permettono di accedere ai server attraverso una richiesta POST all’endpoint ToolPane. I cybercriminali aggirano quindi il meccanismo di autenticazione e possono eseguire codice remoto. In dettaglio hanno caricato sui server lo script spinstall0.aspx che contiene i comandi per estrarre i dati MachineKey, tra cui le chiavi crittografiche utilizzate per l’intrusione senza credenziali di login.

A partire dal 7 luglio, Microsoft ha rilevato attacchi da almeno tre gruppi di cybercriminali: Linen Typhoon, Violet Typhoon e Storm-2603. Tutti sono “sponsorizzati” dal governo cinese ed eseguono solitamente attacchi di cyberspionaggio e furto di proprietà intellettuale.

Le aziende devono ovviamente installare le patch nel minor tempo possibile. Microsoft consiglia inoltre di attivare la funzionalità Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o soluzioni equivalenti). Devono infine essere cambiate tutte le chiavi crittografiche (seguendo le istruzioni indicate nel post) e riavviato Internet Information Services (IIS) su tutti i server SharePoint.

Aggiornamento (23/07/2025): i cybercriminali cinesi hanno colpito anche la National Nuclear Security Administration, ma non è stato sottratto nessun dato sensibile perché l’agenzia usa principalmente la versione cloud in Microsoft 365.

Fonte: Microsoft

Pubblicato il 22 lug 2025

Link copiato negli appunti

Ti potrebbe interessare

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
Luca Colantuoni
Pubblicato il
22 lug 2025
Link copiato negli appunti