Una grave falla di sicurezza in Microsoft SharePoint è al centro di una campagna di attacchi informatici in corso, secondo quanto segnalato dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti. La vulnerabilità, identificata come CVE-2025-53771, riguarda le versioni on-premise di SharePoint Server - ovvero installate e gestite direttamente dalle aziende - e permette agli attaccanti di accedere ai sistemi senza necessità di autenticazione. Microsoft, pur avendo confermato il problema, non ha ancora distribuito aggiornamenti risolutivi per tutte le versioni coinvolte, lasciando migliaia di aziende esposte.
Un bug critico, attacchi già in corso
Secondo quanto riportato da Eye Security, la società che per prima ha rivelato la vulnerabilità, esistono già "decine" di server SharePoint compromessi in rete. La falla consente ai malintenzionati di rubare chiavi digitali private direttamente dai server, senza alcuna credenziale. Questo consente loro non solo di accedere ai file archiviati, ma anche di installare malware da remoto e potenzialmente espandere l'intrusione ad altri servizi collegati come Outlook, Teams e OneDrive.
Il rischio è concreto e già documentato: fonti del Washington Post confermano che numerose agenzie federali statunitensi, istituti universitari e aziende del settore energetico sono state violate. Michael Sikorski, capo della divisione Unit 42 di Palo Alto Networks, ha dichiarato in un'email a TechCrunch: "Se avete SharePoint esposto a internet, dovete presumere di essere già stati compromessi."
Nessuna patch immediata: cosa fare
Trattandosi di un cosiddetto zero-day - un bug noto agli hacker prima che il produttore possa risolverlo - la priorità in questo momento è minimizzare i danni. Microsoft ha confermato che la vulnerabilità riguarda versioni di SharePoint a partire da SharePoint Server 2016, ma non ha ancora rilasciato patch per tutte le varianti affette.
Nel frattempo, CISA ha invitato le organizzazioni ad adottare misure immediate: disconnettere i server SharePoint da internet, se possibile, e prepararsi a ruotare le chiavi digitali compromesse, anche dopo l'arrivo della patch. In effetti, una semplice correzione software potrebbe non essere sufficiente: dato che gli attaccanti possono continuare a impersonare richieste legittime grazie alle chiavi rubate, sarà necessario sostituire tutte le credenziali di sicurezza per evitare nuove violazioni.
