Eye Research ha pubblicato un report dettagliato sulle vulnerabilità zero-day di SharePoint Server, mentre Microsoft ha invece distribuito le patch di sicurezza. Nessuna delle due aziende ha svelato i responsabili degli attacchi. Ci ha pensato Mandiant, sussidiaria di Google.
Cybercriminali pagati dal governo cinese
Per effettuare gli attacchi sono state sfruttate due vulnerabilità zero-day che consentono di estrarre le chiavi crittografiche da SharePoint Server ed eseguire codice remoto senza credenziali di login. Microsoft ha rilasciato le patch che migliorano le protezioni introdotte a maggio, aggirate dai cybercriminali.
Charles Carmakal, Chief Technology Officer di Mandiant (acquisita da Google nel 2022 per 5,4 miliardi di dollari), ha dichiarato che tra i responsabili degli attacchi c’è un gruppo di cybercriminali legati al governo cinese. Un altro ricercatore ha svelato che gli investigatori statunitensi hanno trovato indirizzi IP provenienti dalla Cina in alcuni server. Altri due esperti confermano gli attacchi cinesi.
Al momento non è arrivato nessun commento ufficiale da FBI, CISA e Ambasciata cinese a Washington. Tra le vittime ci sono agenzie statali e federali, università e aziende che operano nel mercato dell’energia negli Stati Uniti, oltre ad una società di telecomunicazioni asiatica.
Come sottolineato da Carmakal, questo tipo di vulnerabilità è molto “appetibile”, quindi altri gruppi di cybercriminali sfrutteranno l’occasione per accedere ai server SharePoint, installare malware e rubare dati sensibili. Utilizzando le chiavi crittografiche è possibile mantenere un accesso persistente. Ecco perché Microsoft ha suggerito di cambiare tutte le chiavi. Se l’intrusione è già avvenuta, la sola installazione delle patch non serve a nulla.
Nelle prossime settimane si conoscerà l’esatta portata degli attacchi. In base alle prime stime, i server SharePoint potenzialmente vulnerabili sono oltre 10.000 nel mondo.
Ti potrebbe interessare
22 lug 2025