Microsoft ha messo in stand-by le vecchie versioni di SharePoint. Gli hacker ne stanno approfittando.
Centinaia di organizzazioni in tutto il mondo hanno subito violazioni dei dati questa settimana, poiché una serie di hacker si è affrettata a sfruttare una vulnerabilità scoperta di recente nelle vecchie versioni dello strumento di condivisione file di Microsoft noto come SharePoint. La serie di violazioni si aggiunge a una dinamica già urgente e complessa: le istituzioni che utilizzano SharePoint da molto tempo potrebbero affrontare rischi maggiori continuando a utilizzare il servizio, proprio mentre Microsoft sta riducendo il supporto per una piattaforma a favore di nuove offerte cloud.
Microsoft ha dichiarato martedì che, oltre ad altri attori, ha visto diversi gruppi di hacker legati alla Cina sfruttare la falla, presente specificamente nelle vecchie versioni di SharePoint ospitate autonomamente dalle organizzazioni. La falla non ha alcun impatto sulla nuova versione di SharePoint basata su cloud che Microsoft incoraggia i clienti ad adottare da molti anni. Bloomberg ha riportato per la prima volta mercoledì che una delle vittime è la National Nuclear Security Administration (NSSA) degli Stati Uniti, che supervisiona e gestisce le armi nucleari statunitensi.
I server SharePoint "on-premise" o autogestiti sono un bersaglio popolare per gli hacker, perché le organizzazioni spesso li configurano in modo da essere esposti sulla rete Internet aperta e poi se ne dimenticano o non vogliono stanziare budget per sostituirli. Anche se sono disponibili delle correzioni, il proprietario potrebbe trascurarle. Non è questo il caso, tuttavia, del bug che ha scatenato l'ondata di attacchi di questa settimana. Sebbene si riferisca a una precedente vulnerabilità di SharePoint scoperta durante la competizione di hacking Pwn2Own di Berlino a maggio, la patch rilasciata da Microsoft all'inizio di questo mese era di per sé difettosa , il che significa che anche le organizzazioni che hanno eseguito i dovuti controlli di sicurezza sono state colte di sorpresa. Questa settimana Microsoft si è affrettata a rilasciare una correzione per la correzione, ovvero quelle che l'azienda ha definito "protezioni più robuste" nel suo avviso di sicurezza .
"In Microsoft, il nostro impegno, ancorato alla Secure Future Initiative, è quello di raggiungere i clienti ovunque si trovino", ha dichiarato un portavoce di Microsoft in una dichiarazione via email. "Ciò significa supportare le organizzazioni lungo tutto lo spettro dell'adozione del cloud, comprese quelle che gestiscono sistemi on-premise".
Microsoft supporta ancora le versioni 2016 e 2019 di SharePoint Server con aggiornamenti di sicurezza e altre correzioni, ma entrambe raggiungeranno quella che Microsoft definisce "fine del supporto" il 14 luglio 2026. SharePoint Server 2013 e le versioni precedenti hanno già raggiunto la fine del ciclo di vita e ricevono solo gli aggiornamenti di sicurezza più critici tramite un servizio a pagamento chiamato "SharePoint Server Subscription Edition". Di conseguenza, tutte le versioni di SharePoint Server si trovano sempre più in una situazione di stagnazione digitale in cui la comodità di continuare a utilizzare il software comporta rischi significativi e una potenziale esposizione per gli utenti, in particolare quando i server di SharePoint rimangono esposti su Internet.
"Anni fa, Microsoft ha presentato SharePoint come un sostituto più sicuro dei vecchi strumenti di condivisione file di Windows, ed è per questo che organizzazioni come le agenzie governative hanno investito nella configurazione di questi server. E ora funzionano senza costi aggiuntivi, a differenza di un abbonamento a Microsoft 365 nel cloud che prevede un abbonamento", afferma Jake Williams, esperto di risposta agli incidenti e vicepresidente della ricerca e sviluppo di Hunter Strategy. "Quindi Microsoft cerca di smorzare i toni facendo pagare per il supporto esteso. Ma se si espone un server SharePoint a Internet, vorrei sottolineare che è necessario prevedere un budget anche per la risposta agli incidenti, perché prima o poi quel server verrà bloccato".
Martedì, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha dichiarato, nelle linee guida sulla vulnerabilità, che "la CISA raccomanda di disconnettere le versioni di SharePoint Server accessibili al pubblico che hanno raggiunto la fine del ciclo di vita (EOL) o la fine del servizio (EOS). Ad esempio, SharePoint Server 2013 e le versioni precedenti sono ormai fuori produzione e, se ancora in uso, dovrebbero essere dismesse".
L'ubiquità del sistema operativo Windows di Microsoft in tutto il mondo ha portato ad altre situazioni in cui un lungo addio ha creato problemi di sicurezza per gli utenti che si erano rifiutati di seguirlo e per altre organizzazioni o individui con connessioni a un'entità vulnerabile. Microsoft ha faticato a gestire la lunga coda di utenti su edizioni di Windows estremamente popolari, tra cui Windows XP e Windows 7. Ma il software legacy rappresenta una sfida per qualsiasi fornitore di software o infrastruttura digitale. All'inizio di quest'anno, ad esempio, Oracle avrebbe informato alcuni clienti di una violazione dopo che degli aggressori avevano compromesso un "ambiente legacy" che era stato in gran parte dismesso nel 2017.
La sfida con un servizio come SharePoint è che spesso funge da strumento ausiliario senza mai essere al centro dell'attenzione.
"Per i software on-premise come SharePoint, profondamente integrati nello stack di identità Microsoft, esistono molteplici punti di esposizione che devono essere costantemente monitorati per individuare, individuare e colmare lacune critiche", afferma Bob Huber, responsabile della sicurezza informatica presso la società di sicurezza informatica Tenable.
Interpellato sulla presunta violazione presso la National Nuclear Security Administration (NNSA), il Dipartimento dell'Energia ha sottolineato che l'incidente non ha avuto ripercussioni su dati sensibili o classificati. "Venerdì 18 luglio, lo sfruttamento di una vulnerabilità zero-day di Microsoft SharePoint ha iniziato a colpire il Dipartimento dell'Energia, inclusa la NNSA", ha dichiarato un portavoce del DOE a WIRED in una nota. "Il Dipartimento ha subito un impatto minimo grazie all'ampio utilizzo del cloud Microsoft M365 e a sistemi di sicurezza informatica molto efficienti. Un numero molto limitato di sistemi è stato interessato. La NNSA sta adottando le misure appropriate per mitigare il rischio e passare ad altre soluzioni, se necessario."
Microsoft non ha risposto immediatamente alle richieste di WIRED di commenti sul processo di dismissione di SharePoint Server. L'azienda ha scritto in un post sul blog martedì che i clienti dovrebbero mantenere aggiornate le versioni supportate di SharePoint Server con le patch più recenti e attivare l'interfaccia di scansione antimalware di Microsoft e Microsoft Defender Antivirus.
wired
