È successo nel weekend, mentre la maggior parte degli amministratori IT non erano al lavoro. È una strategia classica: colpire quando la guardia è abbassata e la risposta sarà più lenta. Gli hacker moderni sono professionisti che studiano i target, pianificano gli attacchi e scelgono i momenti migliori per massimizzare i danni. E questo attacco coordinato a livello globale ne è la prova.
Gli hacker hanno sferrato un attacco coordinato contro migliaia di server SharePoint in tutto il mondo. Hanno sfruttato una vulnerabilità che permette di prendere il controllo totale senza nemmeno dover inserire una password.
Attacco globale a Microsoft SharePoint: hacker violano migliaia di server
Non è un attacco isolato o casuale, ma una campagna sistematica che ha già compromesso decine di sistemi
secondo i ricercatori di sicurezza. E la cosa peggiore, è che molte aziende potrebbero non sapere nemmeno di essere state violate.
La vulnerabilità è stata catalogata come CVE-2025-53770 e soprannominata “ToolShell“. Permette agli hacker di ottenere il controllo completo dei server SharePoint senza autenticazione. Microsoft ha confermato di essere a conoscenza degli attacchi attivi. Ha dichiarato che il problema è parzialmente risolto
dall’aggiornamento di sicurezza di luglio. Ma quel “parzialmente” solleva dubbi legittimi.
La società di cybersicurezza Eye Security ha condotto una scansione di oltre 8.000 server SharePoint in tutto il mondo e ha fatto una brutta scoperta. Sono stati compromessi attivamente decine di sistemi, probabilmente il 18 luglio intorno alle 18:00 UTC e il 19 luglio intorno alle 07:30 UTC.
Due ondate di attacchi coordinati a poche ore di distanza. Non è il lavoro di un hacker solitario nel garage, ma di organizzazioni strutturate con risorse e pianificazione. Il tipo di operazione che fa pensare a gruppi criminali o addirittura sponsor statali.
Solo SharePoint on-premises nel mirino
Ma c’è almeno una buona notizia in tutto questo caos. La vulnerabilità colpisce solo i server SharePoint installati localmente nelle aziende, non riguarda SharePoint Online di Microsoft 365. Questo significa che milioni di utenti di Microsoft 365 possono dormire sonni tranquilli, ma le aziende che gestiscono SharePoint nei propri data center molto meno… E considerando che spesso queste installazioni contengono i documenti più sensibili, non è esattamente un sollievo.
Le contromisure di emergenza di Microsoft
Microsoft ha rilasciato aggiornamenti di sicurezza per SharePoint Server Subscription Edition e SharePoint Server 2019, ma avverte che sta ancora lavorando a un hotfix per risolvere completamente la vulnerabilità. Nel frattempo, raccomanda una serie di misure difensive.
Consiglia di usare versioni supportate di SharePoint, installare gli ultimi aggiornamenti di sicurezza, attivare l’Antimalware Scan Interface (AMSI) e la rotazione delle chiavi ASP.NET machine.
Microsoft Defender Antivirus può già rilevare se un server è stato compromesso, identificando le minacce come “Exploit:Script/SuspSignoutReq.A” e “Trojan:Win32/HijackSharePointServer.A”. Nomi che non lasciano dubbi sulla gravità della situazione. Ma il fatto che serva un antivirus per scoprire se si è stati violati significa che l’attacco può rimanere nascosto per un tempo sufficiente a causare danni enormi.
