“Come una porta d’ingresso aperta”: gli hacker si infiltrano in un varco in Microsoft Sharepoint

Finalmente, tutti gli aggiornamenti sono disponibili. Microsoft ha rilasciato la correzione per l'ultima versione di SharePoint interessata dalla nuova vulnerabilità di sicurezza nella notte. Nella notte tra sabato e domenica è stata scoperta una vulnerabilità nel popolare programma, che consente agli hacker di penetrare nei sistemi informatici praticamente senza barriere. Gli utenti interessati devono ora installare l'aggiornamento al più presto. Tuttavia, la minaccia non è ancora stata scongiurata.

Le aziende di sicurezza hanno riferito a Reuters che gli hacker hanno già violato circa 100 organizzazioni in tutto il mondo, apparentemente principalmente in Germania e negli Stati Uniti. Tra le vittime figurano aziende, ma anche agenzie governative e università.

I server SharePoint vengono utilizzati per condividere file con dipendenti o partner esterni. Le potenziali vittime di questo attacco includono tutte le organizzazioni che gestiscono server SharePoint autonomamente, non tramite Microsoft Cloud 365. Secondo le aziende di sicurezza citate da Reuters, tra le 8.000 e le 9.000 organizzazioni in tutto il mondo lo fanno.

La vulnerabilità ha un punteggio di 9,8 su una scala di gravità da 0 a 10, il che la rende particolarmente critica. David Gugelmann, fondatore dell'azienda di sicurezza informatica Exeon con sede a Zurigo, ne spiega il motivo: "Attraverso questa falla di sicurezza, qualsiasi hacker può accedere direttamente ai sistemi da Internet. È come una porta aperta".

Normalmente, per effettuare l'accesso sono necessari un account e una password. "La vulnerabilità scoperta consente agli hacker di connettersi direttamente al server senza un account per rubare dati o preparare altri attacchi", afferma Gugelmann.

A quanto pare, la prima a notare l'attacco hacker è stata l'azienda olandese di sicurezza informatica Eye Security. Venerdì sera ha ricevuto da un cliente la segnalazione di un file sospetto. L'ipotesi iniziale era che qualcuno avesse rubato o violato una password, introducendo così il file dannoso sul server, come scrive Eye Security sul suo sito web.

Tuttavia, i log mostravano che l'attività non autorizzata si era verificata dopo una richiesta di "logout" e senza un nome utente riconoscibile. Lo staff di Eye Security si rese conto che si trattava di un problema più profondo, che avrebbe potuto interessare diversi server in tutto il mondo.

Questo sospetto sarebbe stato presto confermato. Oggi è chiaro che gli aggressori hanno sfruttato una vulnerabilità scoperta da hacker etici mesi fa e segnalata a Microsoft, ma non ancora completamente risolta.

Michael Sikorski dell'azienda di sicurezza informatica Palo Alto Networks ha descritto la minaccia in corso in un comunicato stampa: "Se le aziende eseguono SharePoint in locale ed è connesso a Internet, a questo punto dovrebbero presumere di essere state compromesse". Risolvere la vulnerabilità con un aggiornamento non è sufficiente per eliminare completamente la minaccia.

La vulnerabilità è rimasta aperta per diversi giorni, giorni che gli hacker hanno sfruttato. Gugelmann afferma: "Gli hacker possono scandagliare automaticamente Internet alla ricerca di vulnerabilità e rubare password o installare l'accesso remoto nei sistemi interessati". Per restare alla metafora della porta d'ingresso: è come se i ladri stessero rubando o copiando una chiave che permetterebbe loro di entrare anche dopo aver chiuso la porta d'ingresso.

Ogni utente del software interessato dovrebbe pertanto controllare i propri server alla ricerca di file ostili anche dopo l'aggiornamento e monitorare costantemente la rete aziendale.

Gugelmann lo consiglia comunque. Perché anche se questa vulnerabilità fosse stata scoperta, si deve sempre presumere che esistano altre vulnerabilità nei sistemi informatici che semplicemente non sono ancora state scoperte. I computer non sono mai completamente sicuri nel mondo interconnesso di oggi.