La violazione di Microsoft SharePoint espone le aziende globali all'esecuzione di codice e al furto di dati

Microsoft sta correndo per contenere un difetto di sicurezza critico nel suo software di collaborazione SharePoint che è già stato sfruttato dagli attori delle minacce per infiltrarsi in migliaia di organizzazioni in tutto il mondo.

La vulnerabilità, segnalata dalla Cybersecurity and Infrastructure Security Agency (CISA) durante il fine settimana, consente agli aggressori non autenticati di ottenere l'accesso completo ai contenuti di SharePoint ed eseguire codice remoto sulle reti interessate.

A differenza di molti incidenti passati, questa violazione non è teorica. Ha già provocato attacchi dal vivo, secondo i ricercatori di sicurezza.

Con SharePoint che funge da spina dorsale per la collaborazione sui documenti nelle aziende di tutto il mondo, il difetto apre le porte all'esfiltrazione diffusa dei dati, al furto di credenziali e all'installazione di backdoor.

Microsoft ha rilasciato patch per alcune versioni interessate, ma non tutti i sistemi sono ancora protetti, in particolare quelli che eseguono SharePoint Server 2016, che rimane senza una correzione.

La vulnerabilità interessa i server locali di SharePoint, non Microsoft 365

Secondo un avviso di Microsoft di sabato, la vulnerabilità interessa solo i server SharePoint on-premise, risparmiando la piattaforma Microsoft 365 ospitata nel cloud dell'azienda.

Tuttavia, molte aziende globali si affidano ancora alle versioni self-hosted di SharePoint, aumentando la portata della minaccia.

La società europea di sicurezza informatica Eye Security, che per prima ha rilevato il difetto, ha osservato che gli hacker possono impersonare utenti o servizi anche dopo l'applicazione di una patch.

Ciò rende la minaccia particolarmente persistente e difficile da contenere.

Gli aggressori stanno sfruttando la falla per stabilire l'accesso a lungo termine ai sistemi aziendali, spostandosi lateralmente attraverso i servizi Microsoft come Outlook e Teams, che sono spesso integrati con i server SharePoint.

Microsoft e CISA emettono patch di sicurezza e avvisi urgenti

Domenica, Microsoft ha rilasciato correzioni di sicurezza per due versioni del software SharePoint vulnerabile, ma ha confermato che stava ancora sviluppando una patch per la versione 2016.

La società non ha ancora fornito ulteriori commenti.

L'avviso ufficiale della CISA descriveva la vulnerabilità come abilitante "l'accesso non autenticato ai sistemi" e avvertiva che "rappresenta un rischio per le organizzazioni".

L'agenzia sta ancora valutando l'intera portata e la portata della violazione. Le organizzazioni che non hanno ancora applicato le patch di Microsoft sono invitate a farlo immediatamente per mitigare la potenziale compromissione.

Palo Alto Networks ha confermato che l'exploit è "reale, in-the-wild" e rappresenta una "seria minaccia".

Il CTO e responsabile dell'intelligence sulle minacce dell'azienda, Michael Sikorski, ha affermato che gli aggressori sono già all'interno di sistemi compromessi e stanno esfiltrando dati, rubando chiavi crittografiche e installando malware persistente per mantenere l'accesso.

Migliaia di entità globali probabilmente interessate dallo sfruttamento attivo

I ricercatori di Palo Alto Networks ritengono che migliaia di organizzazioni in tutto il mondo siano già state colpite.

Dato il ruolo centrale svolto da SharePoint nella collaborazione aziendale, i sistemi compromessi non solo fanno trapelare documenti, ma espongono anche comunicazioni interne sensibili e credenziali di accesso.

Gli aggressori sfruttano la vulnerabilità per impersonare utenti legittimi e navigare tra i servizi connessi, consentendo loro di estrarre dati o aumentare i privilegi.

Anche i sistemi con patch possono rimanere vulnerabili agli attacchi di impersonificazione a meno che non vengano adottate ulteriori misure di mitigazione.

Lo sfruttamento del difetto di SharePoint segue uno schema visto nelle precedenti intrusioni informatiche su larga scala, in cui i punti di ingresso iniziali vengono utilizzati per compromettere un'infrastruttura più ampia.

Il fatto che questa violazione consenta l'esecuzione di codice in modalità remota sulla rete aumenta ulteriormente il rischio di una rapida propagazione tra i sistemi interni.

Un'interruzione IT non correlata interrompe le operazioni di Alaska Airlines

In un incidente non correlato, Alaska Airlines ha segnalato una breve interruzione delle sue operazioni di terra per circa tre ore all'inizio di domenica a causa di un'interruzione informatica.

La portaerei ha ripreso le operazioni intorno alle 2 del mattino EST. Al momento non esistono prove che colleghino l'interruzione al problema di sicurezza di SharePoint in corso.

Tuttavia, la tempistica ha aumentato le preoccupazioni sulla resilienza digitale nel settore dei trasporti e dell'aviazione, che spesso si affida all'infrastruttura basata su Microsoft per le sue operazioni.

L'industria, come molte altre, è stata esortata a verificare la presenza di segni di compromesso.