Gli hacker hanno lanciato un attacco informatico su larga scala sfruttando una falla critica nel software SharePoint Server di Microsoft, ampiamente utilizzato.
Secondo funzionari statali, la violazione ha compromesso agenzie governative federali e statali degli Stati Uniti, università, aziende energetiche e persino infrastrutture di telecomunicazione in Asia.
La vulnerabilità risiede nei server SharePoint locali (sistemi utilizzati internamente per archiviare e condividere documenti) e non nei servizi cloud di Microsoft come Microsoft 365 , il che li rende obiettivi privilegiati per gli aggressori.
La falla viene definita una vulnerabilità "zero-day", una nuova vulnerabilità software per la quale Microsoft non ha ancora rilasciato una patch. Le organizzazioni hanno avuto zero giorni per prepararsi, esponendo migliaia di istituzioni agli attacchi.
Secondo i ricercatori di sicurezza, gli hacker hanno penetrato i sistemi di oltre 50 organizzazioni, tra cui diverse agenzie governative europee, un'azienda energetica in un grande stato degli Stati Uniti e un'università in Brasile.
In uno stato orientale degli Stati Uniti, degli aggressori hanno preso il controllo di una serie di documenti destinati alla divulgazione al pubblico, tenendoli poi in sospeso affinché l'agenzia non potesse ritirarli e rimuoverli.
Microsoft non riesce a rilasciare una patch a causa della crescente violazione
La Cybersecurity and Infrastructure Security Agency (CPI) statunitense e le autorità di sicurezza informatica di Canada e Australia stanno indagando attivamente sulla violazione. Microsoft non ha ancora rilasciato una patch per la vulnerabilità del server SharePoint, costringendo le organizzazioni interessate ad affidarsi a soluzioni temporanee, come la modifica delle configurazioni dei server o la disconnessione dei sistemi, per mitigare il rischio.
Microsoft ha confermato la violazione e ha pubblicato un avviso, ma non ha rilasciato dichiarazioni pubbliche. L'azienda ha esortato gli utenti ad applicare impostazioni di blocco e a rimuovere i server esposti da Internet per mitigare l'esposizione.
Il Center for Internet Security, che collabora con le amministrazioni locali degli Stati Uniti, ha dichiarato di aver inviato avvisi a circa 100 organizzazioni potenzialmente interessate, tra cui scuole pubbliche e università. La reazione è stata ostacolata anche dai recenti tagli ai finanziamenti, che hanno ridotto di almeno il 60% il personale addetto alle operazioni di intelligence e risposta alle minacce.
Randy Rose, vicepresidente del Center for Internet Security, ha dichiarato che sabato sera ci sono volute sei ore per completare le notifiche. Ha aggiunto che il processo sarebbe stato molto più rapido se i loro team non fossero stati tagliati.
La CISA, attualmente guidata dal suo direttore nominato in carica ad interim in attesa di conferma, ha affermato che il suo personale ha lavorato instancabilmente. Marci McCarthy, portavoce dell'agenzia, ha affermato che nessuno ha dormito al volante.
Le falle nella sicurezza scatenano un crescente controllo su Microsoft
L'ultimo incidente alimenta un'ondata di preoccupazione circa la capacità di Microsoft di proteggere il suo software, nonostante l'azienda continui a essere un fornitore primario di tecnologia per i governi in molte parti del mondo.
Il Dipartimento della Sicurezza Nazionale ha affermato che gli aggressori potrebbero aver preso le mosse da una vulnerabilità di SharePoint precedentemente risolta. Ciò sottolinea la strategia ripetuta di Microsoft di fornire soluzioni mirate che non riescono a colmare le falle correlate ancora da sfruttare.
I professionisti della sicurezza informatica sono preoccupati per le implicazioni a lungo termine della violazione. Una volta all'interno dei server SharePoint interni, gli aggressori hanno accesso ai sistemi sensibili su cui fate affidamento sul posto di lavoro, come Outlook, Teams e altri. Alcuni hacker, secondo quanto riportato, hanno rubato chiavi crittografiche che potrebbero essere utilizzate per accedere nuovamente ai server, anche dopo l'installazione delle patch.
Un ricercatore coinvolto nella risposta, che ha chiesto di rimanere anonimo a causa dell'indagine federale in corso, ha avvertito che il rilascio di una patch lunedì o martedì non sarebbe di aiuto a nessuno che fosse già stato compromesso nelle ultime 72 ore.
L'anno scorso, una commissione nominata dal governo statunitense ha criticato Microsoft per aver gestito un attacco informatico cinese mirato ai sistemi di posta elettronica federali, inclusi i messaggi generati dall'allora Segretario al Commercio Gina Raimondo. In quel caso, l'azienda ha affermato che la sua piattaforma cloud era stata sfruttata per accedere illegalmente a comunicazioni sensibili.
L'azienda ha dovuto affrontare nuove critiche la scorsa settimana, dopo che ProPublica ha riportato che Microsoft aveva assunto ingegneri in Cina per lavorare a progetti cloud legati all'esercito statunitense. Venerdì, Microsoft ha annunciato che non avrebbe più impiegato ingegneri in Cina per i sistemi relativi al Pentagono.
Le tue notizie sulle criptovalute meritano attenzione: KEY Difference Wire ti mette su oltre 250 siti top