#CyberAttackAlert: Hackers Just Cracked Microsoft’s SharePoint Wide Open in a Global Rampage! A sneaky zero-day flaw let unauthenticated creeps execute code on servers worldwide, hitting 29 orgs including governments. Microsoft’s patching game is weak—fix it before it’s too late! #MicrosoftFail #HackingNightmare #TechDisaster
Un attacco informatico di proporzioni epiche ha mandato in tilt agenzie governative e aziende su tre continenti, sfruttando una falla da incubo nei server locali di Microsoft SharePoint. Secondo il Washington Post, che cita ricercatori informati, questo colpo “zero-day” – ovvero una debolezza che nessuno aveva previsto – ha già compromesso 85 server di 29 organizzazioni, mischiando vittime pubbliche e private. Microsoft ha buttato fuori una toppa solo per alcune versioni, lasciando il resto esposto come un bersaglio facile, mentre le agenzie di sicurezza USA, Canada e Australia corrono per tappare la falla. È una vera farsa: come al solito, i giganti tech ci lasciano in balìa dei cyber-criminali.
ToolShell: la vulnerabilità che ha dato inizio a tutto
Il vero incubo è nel cuore di Microsoft SharePoint Server, la piattaforma che dovrebbe aiutare le aziende a gestire documenti senza casini. Questa falla, etichettata CVE-2025-53770 e con un punteggio CVSS da brividi (9.8 su 10), permette a estranei di eseguire comandi remoti senza nemmeno fingere di essere autorizzati. Tutto grazie a una deserializzazione insicura, dove dati esterni non verificati diventano oggetti software letali. L’endpoint colpevole? “ToolPane.aspx”, da cui nasce il nome ToolShell per tutta questa messata. Una volta dentro, i hacker caricano un payload via PowerShell, rubando roba critica come le MachineKey – le chiavi che gestiscono il VIEWSTATE, permettendo loro di fingere richieste legittime e correre liberi nel sistema.
E l’Agenzia per la cybersicurezza nazionale lo spiega chiaro in una nota ufficiale: “L’attacco, che non richiede autenticazione, viene condotto tramite richieste HTTP di tipo POST opportunamente predisposte verso la risorsa. […] Tale risorsa utilizza un campo nascosto chiamato __VIEWSTATE, utilizzato per mantenere lo stato della pagina tra le varie richieste HTTP mediante la serializzazione di oggetti .NET. Qualora tali dati non siano adeguatamente firmati o validati, un attaccante può sottomettere un payload malevolo che, una volta deserializzato dal server, consente l’esecuzione di codice arbitrario sul sistema interessato.” Insomma, un bel casino che fa sembrare le difese digitali una barzelletta.
Quanto è grave la situazione
I guru di cybersecurity di Eye Security non ci vanno leggeri nel loro rapporto: questa roba è un disastro totale. Ecco i punti chiave che ti faranno sudare freddo – e non per colpa del clima: Gli attaccanti eseguono comandi remoti bypassando roba come l’autenticazione a più fattori (MFA) e Single Sign-On (SSO), permettendo di rovistare nei file e propagarsi nella rete Windows come se fosse casa loro. Peggio ancora, rubano chiavi crittografiche che li fanno passare per utenti legittimi, e una patch non basta – devi ruotare quelle chiavi o sei fregato. In alcuni casi, inseriscono backdoor che resistono a tutto, e dato che SharePoint è legato a Outlook, Teams e OneDrive, l’infezione si diffonde come un virus a una festa.
Come affrontare la situazione e difendersi dall’attacco hacker
Microsoft ha rilasciato aggiornamenti solo per metà delle versioni colpite – tipo Microsoft SharePoint Server Subscription Edition, 2019 e 2016 – e sta promettendo di più, ma intanto gli admin devono correre ai ripari seguendo le guide di Microsoft e CISA. L’Agenzia per la cybersicurezza nazionale italiana aggiunge i suoi consigli: monitora e blocca richieste POST verso ToolPane.aspx con valori strani nel campo __VIEWSTATE; accendi AMSI (Antimalware Scan Interface); e ruota quelle machine keys di ASP.NET prima che i hacker ti ridano in giro. È una corsa contro il tempo, e se non agisci, potresti essere il prossimo headline sensazionista.
