Colpo grosso per il cybercrimine internazionale. Secondo quanto riportato dal Washington Post, negli ultimi giorni i criminali informatici hanno sfruttato un'importante falla di sicurezza in un software dei server di Microsoft SharePoint, la piattaforma per la condivisione e gestione dei documenti, per colpire agenzie governative statunitensi, università, aziende energetiche e una società di telecomunicazioni asiatica. Un cyberattacco di dimensioni colossali, su cui stanno indagando Stati Uniti, Canada e Australia, nel tentativo di ricostruire con certezza la dinamica dell'accaduto. Una cosa è certa, però: migliaia di server di SharePoint sono a rischio e, con essi, anche i dati sensibili che contengono - anche se, a quanto pare, l'attacco avrebbe colpito soltanto i server interni alle organizzazioni, e non i servizi cloud.Di tutta risposta, nella serata di ieri Microsoft ha rilasciato una patch di sicurezza per due delle versioni del software - SharePoint Server 2019 e SharePoint Subscription Edition -, dichiarando di essere a lavoro su un aggiornamento per la versione SharePoint Enterprise Server 2016, attualmente vulnerabile. Questa risoluzione tardiva, però, potrebbe rivelarsi letale per alcune delle vittime dei cybercriminali: in attesa del rilascio di una patch, i criminali hanno tutto il tempo per mettere le mani su chiavi che potrebbero permettergli di rientrare nel sistema anche dopo che questo è stato patchato. “Rilasciare una patch lunedì o martedì non aiuta chi è stato compromesso nelle ultime 72 ore”, ha dichiarato al Washington Post un ricercatore di sicurezza che ha chiesto di rimanere anonimo.Le vittime del cyberattaccoCon le indagini appena avviate, è difficile capire chi siano i responsabili del cyberattacco o quali le vittime colpite. Secondo quanto riferito dal Washington Post, i cybercriminali avrebbero preso di mira alcuni server in Cina, un'azienda energetica di un grande Stato, alcune agenzie governative europee e almeno due agenzie federali statunitensi. Un funzionario statale degli Stati Uniti orientali ha dichiarato che i criminali hanno “sequestrato” una serie di documenti messi a disposizione dei cittadini per aiutarli a capire come funziona il loro governo, impedendo così ai funzionari di accedervi, ma senza sapere se questi siano stati cancellati o meno. Un caso isolato, considerando che sembrerebbe che i cybercriminali abbiano sottratto dai server le chiavi crittografiche necessarie per accedere ai sistemi, e non documenti veri e propri. Una mossa che preoccupa non poco gli esperti di sicurezza.L'errore di MicrosoftA poco più di un anno di distanza dall'attacco al governo statunitense, messo a segno dai cybercriminali cinesi sfruttando una falla nel cloud di Microsoft, si torna a parlare delle pratiche di sicurezza adottate dalla compagnia. In quell'occasione, infatti, l'azienda era stata accusata di aver commesso una “cascata” di “errori evitabili”, che avevano permesso ai criminali di accedere agli account di posta elettronica di alcuni funzionari statunitensi, incluso il Segretario al Commercio Gina Raimondo. Dopo alcune raccomandazioni del governo, però, la compagnia aveva pubblicamente dichiarato che avrebbe rafforzato la sicurezza dei suoi protocolli interni, così da ridurre al minimo il rischio di cyberattacchi. Una promessa infranta, se consideriamo che i criminali informatici sono riusciti di nuovo a infiltrarsi nei server delle strutture sensibili del governo statunitense, poco dopo che Microsoft aveva rilasciato un aggiornamento di sicurezza per i suoi software.I primi commenti“Gli attaccanti stanno bypassando i controlli di identità, inclusi MFA e SSO, per ottenere accesso privilegiato - spiega Michael Sikorski, CTO e Head of Threat Intelligence di Unit 42 di Palo Alto Networks - Una volta all’interno, stanno esfiltrando dati sensibili, distribuendo backdoor persistenti e rubando chiavi crittografiche. Se un’azienda avesse SharePoint on-prem esposto a internet, sarebbe opportuno presumere di essere stati compromessi. La sola applicazione di patch non è sufficiente per eliminare completamente la minaccia. Ciò che rende la situazione particolarmente preoccupante è la profonda integrazione di SharePoint con la piattaforma Microsoft, inclusi servizi quali Office, Teams, OneDrive e Outlook, che contengono tutte le informazioni di valore per un attaccante. Una compromissione non resta contenuta — apre la porta all’intera rete. Questa è una minaccia di elevata gravità e urgenza”.Che fare dunque? Secondo Sikorski “una soluzione immediata e provvisoria sarebbe quella di scollegare Microsoft SharePoint da internet fino a quando non sarà disponibile un rimedio. Un falso senso di sicurezza potrebbe comportare un’esposizione prolungata e una compromissione più estesa”.Nonostante le soluzioni a disposizione degli utenti rimangano più di una, quello che ancora non è chiaro è chi si nasconde dietro un attacco dalle conseguenze tanto preoccupanti. “In base alla coerenza delle tecniche operative osservate negli attacchi, la campagna lanciata venerdì sembra essere opera di un singolo attore - ha dichiarato Rafe Pilling, Direttore della Threat Intelligence presso Sophos, azienda britannica impegnata nella cybersicurezza - Tuttavia, è possibile che quest’ipotesi cambi rapidamente man mano che la conoscenza della catena di exploit si diffonde”.L'allerta dell'Agenzia per la cybersicurezza nazionaleA segnalare la situazione critica è anche l'Agenzia per la cybersicurezza nazionale (ACN), che oggi ha diramato un alert rivolto a tutti i soggetti potenzialmente interessati dal cyberattacco, invitandoli a mettere in campo una serie di azioni volte a difendere i dati archiviati nei server SharePoint. “Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza”, si legge nella nota dell'ACN, che consiglia anche di bloccare le richieste d'accesso sospette, “verificare che il meccanismo di sicurezza AMSI (Antimalware Scan Interface) sia attivo” e “procedere con la rotazione delle machine keys”.