Un attacco informatico su larga scala sfrutta una vulnerabilità zero-day in SharePoint Server, esponendo infrastrutture critiche globali e riaccendendo l’urgenza di una strategia europea integrata sulla cybersecurity.
Una vulnerabilità critica non ancora corretta (CVE-2025-53770) è attualmente sfruttata in una campagna di attacchi informatici su scala globale che coinvolge oltre 85 server SharePoint in almeno 54 organizzazioni, incluse agenzie governative, gruppi bancari e grandi imprese. La vulnerabilità – con un punteggio CVSS di 9.8 – consente l’esecuzione di codice remoto senza necessità di autenticazione e riguarda specificamente le installazioni on-premises di SharePoint Server. Non colpisce, invece, gli utenti di SharePoint Online in ambiente Microsoft 365.
Impatto globale: target strategici tra amministrazioni pubbliche, banche e multinazionali
I primi segnali di sfruttamento attivo risalgono al 18 luglio 2025. Secondo l’azienda olandese di cybersicurezza Eye Security, tra i target figurano soggetti strategici in Stati Uniti, Germania, Francia, Australia, Italia e Giappone, con particolare attenzione verso enti governativi e infrastrutture finanziarie. Secondo il CTO della società, Piet Kerkhofs, gli attacchi sono condotti in ondate rapide e coordinate e puntano a ottenere accesso persistente a dati sensibili, chiavi crittografiche e credenziali di sistema.
ToolShell: una vulnerabilità nella deserializzazione apre le porte al controllo totale dei server
La falla è stata soprannominata “ToolShell” dai ricercatori ed è una variante avanzata del bug di spoofing CVE-2025-49706. Secondo l’avviso pubblicato da Microsoft, il problema riguarda la deserializzazione di dati non affidabili all’interno di SharePoint Server, che consente a un aggressore non autenticato di eseguire codice arbitrario attraverso una rete, aprendo la porta all’inserimento di web shell, al furto di chiavi crittografiche e all’esecuzione di comandi da remoto.
Le chiavi di autenticazione rubate permettono agli attaccanti di generare token validi anche in caso di applicazione successiva delle patch, rendendo la compromissione persistente e invisibile. Questo scenario compromette la sicurezza strutturale delle organizzazioni e solleva interrogativi critici sul fronte della responsabilità giuridica in caso di esposizione dei dati.
Reazioni istituzionali: mobilitazione d’urgenza di CISA e governi nazionali
La CISA (Cybersecurity and Infrastructure Security Agency) ha risposto in meno di 24 ore, inserendo CVE-2025-53770 nel catalogo delle vulnerabilità attivamente sfruttate e ordinando alle agenzie federali statunitensi di applicare misure di mitigazione entro 48 ore. In Europa, l’ENISA (Agenzia europea per la sicurezza informatica) ha convocato una task force per valutare l’impatto sull’infrastruttura digitale comune.
Il coinvolgimento di enti governativi rende la questione anche geopolitica, vista la possibilità che la campagna sia parte di attività di cyber-intelligence o guerra ibrida. Il rischio, infatti, non è solo operativo, ma anche strategico, nel caso in cui venga compromesso il funzionamento di infrastrutture critiche, servizi pubblici o asset finanziari.
Rischi economici e finanziari: interruzione dei servizi e responsabilità normativa
La compromissione di ambienti SharePoint on-premises può avere conseguenze dirette sulle operazioni aziendali, soprattutto in settori dove l’infrastruttura è integrata nei sistemi ERP o nei flussi documentali ad alta riservatezza. Il danno potenziale si estende a:
- Interruzione di servizi digitali e supply chain
- Violazione del GDPR e responsabilità amministrativa ex D. Lgs. 231/2001
- Perdita di valore degli asset digitali aziendali
- Erosione della fiducia nei confronti degli operatori IT pubblici e privati
Secondo analisti del settore, una campagna così estesa potrebbe generare ondate speculative sui mercati, in particolare nei comparti assicurativo, bancario e IT. Le società coinvolte, inoltre, potrebbero essere esposte a azioni legali collettive da parte di utenti o stakeholder.
Azioni immediate raccomandate da Microsoft: AMSI, antivirus e isolamento
Microsoft ha pubblicato un bollettino tecnico d’urgenza raccomandando:
- Attivazione immediata dell’Antimalware Scan Interface (AMSI) su SharePoint Server
- Distribuzione di Microsoft Defender Antivirus su tutti i nodi vulnerabili
- Isolamento dei server SharePoint da Internet, nel caso in cui non sia possibile applicare AMSI
Queste misure rappresentano una strategia temporanea di contenimento, in attesa della disponibilità di una patch ufficiale, il cui rilascio è atteso nei prossimi giorni. Microsoft ha inoltre confermato che gli ambienti cloud (SharePoint Online) non sono impattati, rafforzando così il dibattito sulla migrazione dei carichi di lavoro verso architetture cloud-native come strumento di difesa proattiva.
Dalla vulnerabilità alla policy industriale europea
L’incidente evidenzia la crescente fragilità delle architetture legacy in ambienti critici e il ritardo della transizione digitale di molte organizzazioni pubbliche e private. Si impone una riflessione urgente sul ruolo della cyber resilience come elemento centrale della politica industriale europea.
Il Digital Services Act e il Cyber Resilience Act rappresentano tentativi normativi di affrontare queste lacune, ma episodi come quello legato a CVE-2025-53770 mostrano come la sicurezza informatica debba diventare una priorità trasversale, integrata nei processi di procurement pubblico, nelle strategie aziendali e nei modelli di governance dell’innovazione.
