Attacco a SharePoint: cosa è successo e cosa insegna sulla sicurezza del cloud
Una vulnerabilità zero-day ha colpito le versioni on-premises di SharePoint, esponendo aziende, pubbliche amministrazioni e infrastrutture critiche a rischi concreti. L’episodio riapre il confronto sulla sicurezza dei sistemi legacy e sul ruolo sempre più strategico del cloud.
Nei giorni scorsi, e più precisamente nel corso del fine settimana tra il 18 e il 19 luglio, Microsoft ha segnalato l’emergere di una campagna di attacchi informatici che ha sfruttato una falla critica nei server SharePoint installati on-premises.
Nello specifico, si è trattato dello sfruttamento di una vulnerabilità zero-day — quindi sconosciuta fino al momento dell’attacco — che ha permesso a soggetti malevoli di ottenere accesso completo ai contenuti ospitati su SharePoint e ai sistemi ad esso collegati.
La vulnerabilità, formalmente classificata come CVE-2025-53770 e CVE-2025-53771, consente l’accesso non autenticato al sistema e la possibilità di eseguire codice da remoto. L’exploit, che i ricercatori ed esperti di sicurezza hanno denominato ToolShell, è stato rilevato in uso attivo su scala globale. Le scansioni condotte da società di sicurezza indicano che l’attacco è stato in grado di colpire numerosi server in ambienti governativi, accademici, industriali ed energetici.
Secondo le valutazioni tecniche, anche dopo l’applicazione delle patch correttive, un sistema compromesso può restare vulnerabile se gli aggressori sono riusciti a sottrarre le chiavi crittografiche interne o ad installare backdoor. In tal caso, il rischio non riguarda solo la perdita di dati ma l’accesso persistente all’intero perimetro informativo, grazie alla possibilità di spostarsi lateralmente nella rete e sfruttare i legami tra SharePoint e altri servizi Microsoft come Outlook, Teams e OneDrive.
La gravità di questo attacco è chiara, soprattutto se si considera che SharePoint, in molte organizzazioni, non è solo uno strumento di collaborazione ma rappresenta un vero e proprio snodo operativo. È qui che transitano documenti riservati, flussi di approvazione, processi regolamentati e, in molti casi, gli asset digitali più sensibili di un’azienda o ente pubblico.
L’attacco ha colpito in particolare le versioni on-premises del software, utilizzate spesso per esigenze di controllo diretto, compliance o vincoli contrattuali. Tuttavia, l’episodio evidenzia come queste infrastrutture risultino particolarmente fragili, soprattutto se non vengono aggiornate tempestivamente, se non vengono monitorate in modo continuo e se sono configurate, come spesso accade, in ambienti poco segmentati.
Non si tratta solo di un problema tecnico, ma di un limite di cui tenere conto quando si tratta di gestione del rischio. In particolare, sistemi fondamentali per la governance digitale e per la conformità normativa – incluse direttive come NIS2, GDPR e DORA – potrebbero risultare esposti a minacce in grado di compromettere integrità, disponibilità e riservatezza delle informazioni. Una compromissione che potrebbe generare effetti a catena: obblighi di notifica, interruzioni operative, inchieste regolatorie e danni reputazionali.
Cloud computing, fuga dai colossi americani? «Per l’Europa è quasi impossibile»
Anche in Italia la situazione è seguita con attenzione. SharePoint è largamente utilizzato in amministrazioni locali, università, aziende sanitarie, centrali operative, enti appaltanti e nel mondo produttivo. L’Agenzia per la Cybersicurezza Nazionale ha emesso un alert, affiancandosi agli avvisi diffusi da CISA, FBI, Microsoft e agenzie europee.
Anche nel contesto italiano valgono le stesse osservazioni già espresse in precedenza: la diffusione di sistemi legacy, la frammentazione delle competenze e la presenza di ambienti ibridi rendono particolarmente difficile la risposta rapida agli attacchi. La compromissione, in molti casi, avviene in modo silenzioso: gli aggressori si muovono nella rete interna, sottraggono credenziali, modificano file e installano accessi persistenti senza essere immediatamente rilevati.
La sola applicazione della patch, se non accompagnata da un’efficace strategia di detection e reazione, può non essere sufficiente. È necessario adottare misure aggiuntive come la rotazione delle chiavi ASP.NET, l’analisi approfondita dei log, la verifica dei comportamenti anomali nei processi IIS e, nei casi più critici, l’isolamento temporaneo dei server esposti.
E c’è un ultimo punto sul quale vale la pena spostare la riflessione. Uno degli aspetti centrali di questo attacco è il fatto che SharePoint Online, parte dell’offerta cloud di Microsoft 365, non è stato colpito. L’architettura cloud ha mostrato maggiore resistenza, grazie alla gestione centralizzata degli aggiornamenti, all’adozione di modelli Zero Trust, al monitoraggio continuo e alla capacità di bloccare comportamenti anomali in modo automatico.
La resilienza operativa e la sicurezza dei dati passano sempre più attraverso modelli infrastrutturali flessibili, distribuiti e automatizzati, in cui le responsabilità sono condivise tra provider, IT interno e funzioni di compliance.
