Paolo Galdieri : 24 Luglio 2025 07:13
Negli ultimi giorni il panorama digitale globale è stato scosso da un bug di sicurezza informatica che ha colpito i server Microsoft SharePoint on-premise, esponendo migliaia di organizzazioni ad Attacchi informatici.
Non si tratta di crisi realizzate nel giro di pochi giorni, ma di segnali che rivelano una fragilità sistemica, maturata nel tempo, dentro infrastrutture digitali sempre più interconnesse. Due episodi completamente differenti, ma emblematici, che mostrano come la sicurezza non sia un’opzione tecnica, ma un elemento di equilibrio tra controllo, cultura e governance.
Gli attacchi che hanno sfruttato Microsoft SharePoint hanno avuto caratteristiche ben precise. Non si è trattato di una classica esfiltrazione di dati o di un ransomware con richieste di riscatto, ma di qualcosa di più profondo: una falla zero-day, non nota nemmeno al produttore al momento dell’attacco.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
I bersagli sono stati selezionati con attenzione chirurgica. Enti federali statunitensi, agenzie governative europee, università, aziende dell’energia, telecomunicazioni asiatiche. Gli attaccanti hanno preso di mira le installazioni on-premise, cioè quelle versioni di SharePoint che le organizzazioni scelgono deliberatamente di tenere all’interno, considerate più sicure rispetto al cloud. Una fiducia mal riposta.
I criminali informatici sono riusciti a ottenere accesso privilegiato aggirando controlli di sicurezza come l’autenticazione multifattore (MFA) e il single sign-on (SSO). Una volta entrati, si sono mossi in modo preciso: sottraendo chiavi crittografiche, esfiltrazione mirata, installazione di backdoor.
L’elemento centrale non è solo ciò che è stato trafugato, ma ciò che è stato lasciato. Un accesso duraturo. Le chiavi sottratte consentono potenzialmente di rientrare anche dopo l’applicazione delle patch. Il rischio non è solo nel dato violato, ma nella possibilità futura di un ritorno invisibile.
Microsoft ha rilasciato patch per SharePoint Server 2019 e per la Subscription Edition. Tuttavia, la versione Enterprise 2016, ancora oggi molto diffusa, resta vulnerabile in attesa di un aggiornamento specifico.
Questo ritardo, unito all’incertezza sulle tempistiche dell’attacco, rappresenta un rischio ulteriore. Come sottolineato da un ricercatore citato dal Washington Post, “rilasciare una patch lunedì o martedì non aiuta chi è stato compromesso nelle ultime 72 ore“. La finestra temporale di esposizione è sufficiente perché un attaccante ben organizzato possa stabilire una presenza duratura nei sistemi.
SharePoint non è un servizio isolato. È profondamente integrato con l’intero ecosistema Microsoft: Teams, OneDrive, Outlook, Office. Questa interconnessione, utile per la produttività, rappresenta un moltiplicatore del rischio. Una compromissione in SharePoint può spalancare l’accesso all’identità digitale dell’intera organizzazione.
La raccomandazione, condivisa da diverse agenzie tra cui l’FBI, CISA e l’Agenzia per la Cybersicurezza Nazionale, è drastica: scollegare i server vulnerabili da internet. Ma non tutte le organizzazioni sono pronte a farlo. Spesso la rigidità operativa, la mancanza di processi di risposta o semplicemente la sottovalutazione del rischio impediscono reazioni rapide ed efficaci.
Nel luglio del 2024, un aggiornamento difettoso di CrowdStrike, uno dei principali fornitori mondiali di soluzioni di sicurezza, ha generato un blackout informatico su scala globale. Questo problema ha causato il blocco di molte macchine Windows in tutto il mondo. La scala dell’incidente, unita alla natura privilegiata del software coinvolto, ha prodotto un effetto domino che ha colpito anche servizi terzi, svelando una fragilità nella gestione dell’infrastruttura digitale globale. Non si è trattato di un bug di sicurezza correlato ad attacchi informatici come nel caso di SharePoint, ma un grave disservizio che ha fatto tutti riflettere.
Sebben differenti, i due casi mostrano con chiarezza che la sicurezza informatica non è un semplice problema tecnico da risolvere con strumenti e budget. È una questione di governance, di cultura, di organizzazione. Chi si muove nell’illegalità ha un vantaggio spesso sottovalutato: può operare senza vincoli. Nel dark web gli attaccanti condividono liberamente strumenti, exploit, credenziali rubate e infrastrutture pronte all’uso. Esistono marketplace ben strutturati, reti di collaborazione informale, canali di supporto tra gruppi criminali e persino modelli di business come l'”hacking-as-a-service”.
In molte realtà la sicurezza è ancora trattata come un costo, un adempimento, una checklist da completare. Ma oggi non è più possibile pensare alla cybersecurity come un progetto da attivare e disattivare. È una funzione strategica continua, che richiede visione, investimenti intelligenti, ma soprattutto consapevolezza diffusa.
Serve una cultura che riconosca il valore della prevenzione, del controllo, della simulazione di scenari. Una cultura che investa nella formazione, nella responsabilità distribuita, nella costruzione di filiere tecnologiche più robuste. A questa carenza si aggiunge una significativa mancanza di chiarezza su cosa sia realmente possibile fare in ambito cybersecurity, generando spesso timori giustificati. Sovente, infatti, si teme che proteggere i sistemi con determinati metodi possa configurare un reato o, comunque, rappresentare un’attività al limite della legalità. Questo vuoto informativo crea incertezza e frena l’adozione di misure di difesa efficaci.
Solo da poco tempo sono nati studi universitari dedicati alla cybersecurity, e sarà necessario ancora un lungo percorso prima che si formi una classe estesa di esperti con competenze trasversali che integrino conoscenze tecniche e giuridiche. Inoltre, nella realtà giudiziaria attuale, non esistono albi professionali specifici per gli esperti in sicurezza informatica. Di conseguenza, l’attività di un esperto viene spesso valutata da consulenti con competenze limitate rispetto al campo specifico, creando una situazione di disparità che complica ulteriormente la gestione e la valutazione delle pratiche di cybersecurity.
Infine, questi eventi riportano in primo piano il dibattito sulla sovranità digitale e tecnologica. L’Europa ha da tempo in agenda l’idea di creare un mercato unico dei prodotti di sicurezza, favorendo soluzioni trasparenti, verificabili, aderenti alle normative continentali. Ma la frammentazione delle priorità politiche ha spesso rallentato l’attuazione di queste visioni.
Non si tratta di costruire un sistema operativo europeo, ma di mettere al centro la possibilità di controllare e verificare le componenti critiche delle nostre infrastrutture. Software con codice ispezionabile, standard comuni, trasparenza sugli aggiornamenti.
Una strategia che oggi non è più solo auspicabile. È necessaria.
Paolo GaldieriGli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hirag...
Una falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a...
