Redazione RHC : 28 Luglio 2025 08:28
Microsoft ha avviato un’indagine interna per chiarire se una fuga di informazioni riservate dal programma Microsoft Active Protections Program (MAPP) abbia permesso a hacker cinesi sponsorizzati dallo stato di sfruttare gravi vulnerabilità di SharePoint prima del rilascio ufficiale delle patch di sicurezza.
L’inchiesta arriva mentre una campagna di attacchi informatici ha compromesso oltre 400 organizzazioni a livello globale, inclusa la National Nuclear Security Administration (NNSA) degli Stati Uniti, responsabile delle scorte nucleari.
Le vulnerabilità di SharePoint (CVE-2025-53770 e CVE-2025-53771) sono state rivelate per la prima volta a maggio dal ricercatore vietnamita Dinh Ho Anh Khoa durante la conferenza di cybersecurity Pwn2Own di Berlino, che aveva ottenuto un premio di 100.000 dollari.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Successivamente, Microsoft aveva informato i partner MAPP delle falle critiche il 24 giugno, il 3 luglio e il 7 luglio. Proprio il 7 luglio, data dell’ultima notifica, sono stati rilevati i primi exploit attivi contro i server SharePoint, suggerendo una possibile fuga di notizie dal programma MAPP.
Secondo Dustin Childs della Zero Day Initiative di Trend Micro, è probabile che qualcuno tra i partner abbia utilizzato le informazioni riservate per sviluppare rapidamente gli exploit.
La sofisticata catena di attacco, denominata “ToolShell“, consente agli hacker di bypassare i controlli di autenticazione e eseguire codice malevolo sui server SharePoint. Particolarmente critica è la possibilità di sottrarre chiavi crittografiche, che permette agli aggressori di mantenere l’accesso anche dopo l’applicazione delle patch.
Microsoft attribuisce gli attacchi a tre gruppi APT legati alla Cina: Linen Typhoon, Violet Typhoon e Storm-2603. Tra le vittime più sensibili figura la NNSA, che ha dichiarato di aver subito danni limitati grazie all’uso dei servizi cloud Microsoft.
L’azienda di cybersecurity Eye Security, che ha individuato per prima gli attacchi, ha confermato quattro ondate di attacchi e oltre 400 sistemi compromessi, colpendo enti pubblici, aziende private e istituti scolastici in Nord America, Europa e Asia.
Non è la prima volta che il programma MAPP finisce sotto i riflettori: nel 2012, Microsoft aveva escluso la cinese Hangzhou DPtech Technologies Co. per la diffusione non autorizzata di un proof-of-concept. Più recentemente, anche Qihoo 360 Technology Co. è stata rimossa dopo essere stata inserita nella Entity List statunitense.
Il programma MAPP, attivo da 17 anni, fornisce a circa 100 partner globali dettagli tecnici sulle vulnerabilità con un preavviso che può arrivare fino a cinque giorni prima della divulgazione pubblica, per consentire una protezione preventiva.
Secondo Bloomberg, una dozzina di aziende cinesi partecipa attualmente al programma.
Microsoft ha confermato che condurrà una revisione interna per rafforzare le misure di sicurezza, sottolineando che la condivisione di informazioni con i partner MAPP resta fondamentale per proteggere gli utenti da nuove minacce informatiche.
Nel frattempo, la Cina ha negato ogni responsabilità, definendo le accuse infondate e ribadendo la propria opposizione alle attività di hacking.
Gli esperti avvertono che la trasformazione di queste vulnerabilità in veri e propri exploit in appena due mesi dimostra l’evoluzione delle minacce informatiche, sempre più veloci e sofisticate.
Questo caso evidenzia anche il delicato equilibrio tra trasparenza nella sicurezza informatica e rischi derivanti da una possibile fuga di dati sensibili.
RedazioneNella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana. Disclaimer: Questo rapporto include s...
SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...
Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...
Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...
