Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 28 Luglio 2025 08:28
Microsoft ha avviato un’indagine interna per chiarire se una fuga di informazioni riservate dal programma Microsoft Active Protections Program (MAPP) abbia permesso a hacker cinesi sponsorizzati dallo stato di sfruttare gravi vulnerabilità di SharePoint prima del rilascio ufficiale delle patch di sicurezza.
L’inchiesta arriva mentre una campagna di attacchi informatici ha compromesso oltre 400 organizzazioni a livello globale, inclusa la National Nuclear Security Administration (NNSA) degli Stati Uniti, responsabile delle scorte nucleari.
Le vulnerabilità di SharePoint (CVE-2025-53770 e CVE-2025-53771) sono state rivelate per la prima volta a maggio dal ricercatore vietnamita Dinh Ho Anh Khoa durante la conferenza di cybersecurity Pwn2Own di Berlino, che aveva ottenuto un premio di 100.000 dollari.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Successivamente, Microsoft aveva informato i partner MAPP delle falle critiche il 24 giugno, il 3 luglio e il 7 luglio. Proprio il 7 luglio, data dell’ultima notifica, sono stati rilevati i primi exploit attivi contro i server SharePoint, suggerendo una possibile fuga di notizie dal programma MAPP.
Secondo Dustin Childs della Zero Day Initiative di Trend Micro, è probabile che qualcuno tra i partner abbia utilizzato le informazioni riservate per sviluppare rapidamente gli exploit.
La sofisticata catena di attacco, denominata “ToolShell“, consente agli hacker di bypassare i controlli di autenticazione e eseguire codice malevolo sui server SharePoint. Particolarmente critica è la possibilità di sottrarre chiavi crittografiche, che permette agli aggressori di mantenere l’accesso anche dopo l’applicazione delle patch.
Microsoft attribuisce gli attacchi a tre gruppi APT legati alla Cina: Linen Typhoon, Violet Typhoon e Storm-2603. Tra le vittime più sensibili figura la NNSA, che ha dichiarato di aver subito danni limitati grazie all’uso dei servizi cloud Microsoft.
L’azienda di cybersecurity Eye Security, che ha individuato per prima gli attacchi, ha confermato quattro ondate di attacchi e oltre 400 sistemi compromessi, colpendo enti pubblici, aziende private e istituti scolastici in Nord America, Europa e Asia.
Non è la prima volta che il programma MAPP finisce sotto i riflettori: nel 2012, Microsoft aveva escluso la cinese Hangzhou DPtech Technologies Co. per la diffusione non autorizzata di un proof-of-concept. Più recentemente, anche Qihoo 360 Technology Co. è stata rimossa dopo essere stata inserita nella Entity List statunitense.
Il programma MAPP, attivo da 17 anni, fornisce a circa 100 partner globali dettagli tecnici sulle vulnerabilità con un preavviso che può arrivare fino a cinque giorni prima della divulgazione pubblica, per consentire una protezione preventiva.
Secondo Bloomberg, una dozzina di aziende cinesi partecipa attualmente al programma.
Microsoft ha confermato che condurrà una revisione interna per rafforzare le misure di sicurezza, sottolineando che la condivisione di informazioni con i partner MAPP resta fondamentale per proteggere gli utenti da nuove minacce informatiche.
Nel frattempo, la Cina ha negato ogni responsabilità, definendo le accuse infondate e ribadendo la propria opposizione alle attività di hacking.
Gli esperti avvertono che la trasformazione di queste vulnerabilità in veri e propri exploit in appena due mesi dimostra l’evoluzione delle minacce informatiche, sempre più veloci e sofisticate.
Questo caso evidenzia anche il delicato equilibrio tra trasparenza nella sicurezza informatica e rischi derivanti da una possibile fuga di dati sensibili.
RedazioneCloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
