Hacker cinesi sfruttano vulnerabilità di SharePoint per ransomware
Microsoft segnala attacchi da parte del gruppo Storm-2603 che sfrutta falle critiche di SharePoint per diffondere ransomware.
Microsoft ha identificato un gruppo di hacker, denominato Storm-2603, che sfrutta vulnerabilità critiche nella piattaforma SharePoint per distribuire ransomware. SharePoint, noto per essere una piattaforma sicura per la gestione e collaborazione di contenuti aziendali, è stato recentemente oggetto di attacchi mirati che ne mettono a rischio la sicurezza.
Le vulnerabilità, tra cui CVE-2025-49704 e CVE-2025-49706, sono state parzialmente affrontate con aggiornamenti di sicurezza, ma bypass per le patch sono già stati individuati. Storm-2603, un attore di minaccia associato alla Cina, è il più recente gruppo identificato ad utilizzare queste falle per diffondere il ransomware Warlock.
Per mitigare i rischi, Microsoft consiglia di mantenere SharePoint aggiornato, integrare e attivare soluzioni come Antimalware Scan Interface e Microsoft Defender Antivirus, e configurare AMSI in modalità completa. È inoltre consigliato ruotare le chiavi MachineKeys ASP.NET e riavviare i servizi IIS.
Ulteriori informazioni sulla situazione e sulle organizzazioni colpite potrebbero emergere con il proseguire delle indagini di Microsoft.
Cosa sono le vulnerabilità CVE-2025-49704 e CVE-2025-49706 in SharePoint?
Le vulnerabilità CVE-2025-49704 e CVE-2025-49706 sono falle di sicurezza critiche in Microsoft SharePoint. CVE-2025-49704 consente l'esecuzione remota di codice, mentre CVE-2025-49706 riguarda lo spoofing. Queste vulnerabilità sono state sfruttate da gruppi di hacker per compromettere sistemi non aggiornati.
Chi è il gruppo di hacker Storm-2603 e quali sono le sue attività?
Storm-2603 è un gruppo di hacker associato alla Cina, noto per sfruttare vulnerabilità in SharePoint per distribuire ransomware come Warlock. Questo gruppo ha recentemente intensificato le sue attività, passando dallo spionaggio informatico all'estorsione finanziaria tramite ransomware.
Quali misure consiglia Microsoft per mitigare i rischi associati a queste vulnerabilità?
Microsoft raccomanda di mantenere SharePoint aggiornato con le ultime patch di sicurezza, abilitare l'Antimalware Scan Interface
Qual è la differenza tra SharePoint on-premises e SharePoint Online riguardo a queste vulnerabilità?
Le vulnerabilità CVE-2025-49704 e CVE-2025-49706 interessano solo le versioni on-premises di SharePoint. SharePoint Online, essendo un servizio basato su cloud gestito da Microsoft, non è affetto da queste specifiche vulnerabilità.
Cosa è il ransomware Warlock e come viene distribuito?
Warlock è un tipo di ransomware utilizzato da gruppi di hacker come Storm-2603 per crittografare i dati delle vittime e richiedere un riscatto. Viene distribuito sfruttando vulnerabilità in software come SharePoint, consentendo agli attaccanti di ottenere accesso non autorizzato ai sistemi.
Quali sono le implicazioni di sicurezza per le organizzazioni che utilizzano SharePoint?
Le organizzazioni che utilizzano SharePoint on-premises devono essere consapevoli delle vulnerabilità esistenti e applicare tempestivamente le patch di sicurezza. La mancata protezione può portare a compromissioni dei dati, interruzioni operative e perdite finanziarie dovute ad attacchi ransomware.
