Gli hacker hanno lanciato un attacco informatico su larga scala sfruttando una falla critica nel software SharePoint Server di Microsoft, ampiamente utilizzato.
Secondo i funzionari statali, la violazione ha compromesso agenzie governative federali e statali degli Stati Uniti, università, aziende energetiche e persino infrastrutture di telecomunicazioni in Asia.
La vulnerabilità risiede nei server SharePoint locali (sistemi utilizzati internamente per archiviare e condividere documenti) e non nei servizi cloud di Microsoft come Microsoft 365 , il che li rende obiettivi privilegiati per gli aggressori.
La falla è stata definita una vulnerabilità "zero-day", una nuova vulnerabilità software per la quale Microsoft non ha ancora rilasciato una patch. Le organizzazioni hanno avuto zero giorni per prepararsi, esponendo migliaia di istituzioni agli attacchi.
Secondo i ricercatori della sicurezza, gli hacker sono penetrati nei sistemi di oltre 50 organizzazioni, tra cui diverse agenzie governative europee, un'azienda energetica in un grande stato degli Stati Uniti e un'università in Brasile.
In uno stato orientale degli Stati Uniti, degli aggressori hanno preso il controllo di una serie di documenti destinati alla divulgazione pubblica, per poi tenerli in sospeso in modo che l'agenzia non potesse ritirarli e rimuoverli.
Microsoft non riesce a rilasciare una patch a causa della crescente violazione
La Cybersecurity and Infrastructure Security Agency degli Stati Uniti e le autorità di sicurezza informatica di Canada e Australia stanno indagando attivamente sulla violazione. Microsoft non ha ancora rilasciato una patch per la vulnerabilità del server SharePoint, costringendo le organizzazioni interessate ad affidarsi a soluzioni temporanee, come la modifica delle configurazioni dei server o la disconnessione dei sistemi, per mitigare il rischio.
Microsoft ha confermato la violazione e ha pubblicato un avviso, ma non ha rilasciato dichiarazioni pubbliche. L'azienda ha esortato gli utenti ad applicare le impostazioni di blocco e a rimuovere i server esposti da Internet per mitigare l'esposizione.
Il Center for Internet Security, che collabora con le amministrazioni locali degli Stati Uniti, ha dichiarato di aver inviato avvisi a circa 100 organizzazioni potenzialmente interessate, tra cui scuole pubbliche e università. La reazione è stata ostacolata anche dai recenti tagli ai finanziamenti, che hanno ridotto di almeno il 60% il personale addetto alle operazioni di intelligence e risposta alle minacce.
Randy Rose,dent del Center for Internet Security, ha dichiarato che sabato sera ci sono volute sei ore per completare le notifiche. Ha aggiunto che il processo sarebbe stato molto più rapido se i loro team non fossero stati tagliati.
La CISA, attualmente guidata dal suo direttore nominato in carica ad interim in attesa di conferma, ha affermato che il suo personale ha lavorato instancabilmente. Marci McCarthy, portavoce dell'agenzia, ha affermato che nessuno ha dormito al volante.
Le falle nella sicurezza scatenano un crescente controllo su Microsoft
L'ultimodent alimenta un'ondata di preoccupazione circa la capacità di Microsoft di proteggere il proprio software, nonostante l'azienda continui a essere un fornitore primario di tecnologia per i governi in molte parti del mondo.
Il Dipartimento per la Sicurezza Nazionale ha affermato che gli aggressori potrebbero aver preso le mosse da una vulnerabilità di SharePoint precedentemente risolta. Ciò sottolinea la strategia ripetuta di Microsoft di fornire soluzioni mirate che non riescono a colmare le falle correlate ancora da sfruttare.
I professionisti della sicurezza informatica sono preoccupati per le implicazioni a lungo termine della violazione. Una volta all'interno dei server SharePoint interni, gli aggressori hanno accesso ai sistemi sensibili su cui fate affidamento sul posto di lavoro, come Outlook, Teams e altri. Alcuni hacker, secondo quanto affermato, hanno rubato chiavi crittografiche che potrebbero essere utilizzate per rientrare nei server, anche dopo l'installazione delle patch.
Un ricercatore coinvolto nella risposta, che ha chiesto di rimanere anonimo a causa dell'indagine federale in corso, ha avvertito che il rilascio di una patch lunedì o martedì non sarebbe stato d'aiuto a nessuno che fosse già stato compromesso nelle ultime 72 ore.
L'anno scorso, una commissione nominata dal governo degli Stati Uniti ha criticato Microsoft per aver gestito un attacco informatico cinese mirato ai sistemi di posta elettronica federali, inclusi i messaggi generati dall'allora Segretario al Commercio Gina Raimondo. In quel caso, l'azienda ha affermato che la sua piattaforma cloud era stata sfruttata per accedere illegalmente a comunicazioni sensibili.
La scorsa settimana, l'azienda ha dovuto affrontare nuove critiche dopo che ProPublica ha riportato che Microsoft aveva assunto ingegneri in Cina per lavorare su progetti cloud legati all'esercito statunitense. Venerdì, Microsoft ha annunciato che non avrebbe più impiegato ingegneri sui sistemi del Pentagono in Cina.
