Scopri anche

• Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
• LinkedIn rinnova l'algoritmo del feed con modelli LLM e infrastruttura GPU
• Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
• La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
• Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• Nove vulnerabilità CrackArmor in Linux AppArmor espongono oltre 12 milioni di sistemi enterprise
• Microsoft Office 2021: offerte su licenze perpetue e confronto con l'abbonamento Microsoft 365
• Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
• Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
• Microsoft Edge 146: patch di sicurezza per vulnerabilità zero-day e nuove funzionalità
• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• Windows 11: aggiornamenti di febbraio e gennaio 2026 causano problemi critici su dispositivi Samsung e app di sistema
• Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali
• Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi
• Acronis True Image 2026 e Cyberthreats Report: minacce AI-driven in crescita nel panorama cybersecurity
• Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza

Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione

Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione

La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha emanato un avviso urgente rivolto alle agenzie governative affinché applichino le patch per due vulnerabilità di sicurezza che interessano Synacor Zimbra Collaboration Suite (ZCS) e Microsoft Office SharePoint. Secondo l'agenzia, entrambe le falle sono state sfruttate attivamente in rete. L'aggiunta di CVE-2025-66376 al catalogo KEV (Known Exploited Vulnerabilities) segue un rapporto di Seqrite Labs che ha documentato una campagna orchestrata da un gruppo di intrusione sospettato di essere sponsorizzato dalla Russia, targetizzato contro il Servizio Idrografico Statale dell'Ucraina. L'attività è stata denominata Operation GhostMail.

Le vulnerabilità CVE-2025-53770 e CVE-2025-53771 in SharePoint

⬆ Torna su

Nei giorni tra il 18 e il 19 luglio, Microsoft ha segnalato l'emergere di una campagna di attacchi informatici che ha sfruttato una falla critica nei server SharePoint installati on-premises. La vulnerabilità, formalmente classificata come CVE-2025-53770 e CVE-2025-53771, consente l'accesso non autenticato al sistema e la possibilità di eseguire codice da remoto. L'exploit, denominato ToolShell dai ricercatori, è stato rilevato in uso attivo su scala globale. Le scansioni condotte da società di sicurezza indicano che l'attacco ha colpito numerosi server in ambienti governativi, accademici, industriali ed energetici.

Secondo le stime della società di sicurezza informatica olandese Eye Security, gli hacker hanno violato i dati di circa 400 agenzie governative, aziende e altri gruppi. Si tratta di un numero in aumento rispetto alle circa 60 unità della precedente stima fornita solo un giorno prima. La maggior parte delle organizzazioni colpite sono statunitensi, ma diversi casi si segnalano anche a Mauritius, Giordania, Sudafrica e Paesi Bassi. Tra le vittime dell'attacco, riporta Bloomberg, figura anche la National Nuclear Security Administration, l'agenzia statunitense responsabile della manutenzione e della progettazione del deposito di armi nucleari del Paese.

Microsoft ha specificato che le vulnerabilità interessano esclusivamente i server SharePoint utilizzati all'interno delle organizzazioni (on-premise), mentre SharePoint Online nella suite Microsoft 365, che opera in cloud, non è stato colpito dagli attacchi. L'azienda ha rilasciato aggiornamenti di sicurezza ed ha esortato tutti i clienti a installarli immediatamente. Per le versioni 2016 e 2019 di SharePoint, Microsoft sta lavorando attivamente su aggiornamenti. Per le organizzazioni che non possono implementare immediatamente le protezioni, l'azienda ha raccomandato di disconnettere completamente i server da internet fino a quando non sia disponibile un aggiornamento di sicurezza.

Operation GhostMail: l'attacco a Zimbra

⬆ Torna su

La campagna GhostMail descritta da Seqrite Labs utilizza una richiesta di stage contraffatta per recapitare un payload JavaScript offuscato incorporato direttamente nel corpo dell'email. Quando la vittima apre il messaggio in una sessione webmail Zimbra vulnerabile, viene sfruttata CVE-2025-66376. L'email di phishing non contiene allegati malevoli, link sospetti o macro: l'intera catena di attacco risiede all'interno del corpo HTML di un singolo messaggio. Il malware JavaScript è progettato per raccogliere credenziali, token di sessione, codici di recupero dell'autenticazione a due fattori, password salvate nel browser e i contenuti della casella postale della vittima risalenti fino a 90 giorni prima. I dati acquisiti vengono esfiltrati tramite DNS e HTTPS.

La campagna risulta coerente con precedenti ondate di attacco condotte da attori di minaccia sponsorizzati dalla Russia, come Operation RoundPress, che hanno sfruttato vulnerabilità XSS nel software webmail per violare organizzazioni ucraine. L'email malevola è stata inviata il 22 gennaio 2026 da un indirizzo di posta elettronica probabilmente compromesso appartenente alla National Academy of Internal Affairs.

Il CSIRT Italia ha rilevato la ripresa di una campagna di phishing a tema Zimbra, già trattata nell'ambito degli avvisi AL01/240524/CSIRT-ITA e AL03/240207/CSIRT-ITA. Il messaggio esorta la vittima a cliccare su un URL presente nel corpo del testo per confermare i dati dell'account mail. Seguendo il link, l'utente viene reindirizzato a una landing page malevola che propone un form di autenticazione con loghi e riferimenti riconducibili a una webmail Zimbra. Compilando il form e effettuando il login, i dati vengono inviati a una risorsa sotto il controllo dell'attore dell'attacco.

ToolShell: meccanismo e persistenza

⬆ Torna su

Secondo le valutazioni tecniche, anche dopo l'applicazione delle patch correttive, un sistema compromesso può restare vulnerabile se gli aggressori sono riusciti a sottrarre le chiavi crittografiche interne o a installare backdoor. In tal caso, il rischio riguarda non solo la perdita di dati ma l'accesso persistente all'intero perimetro informativo, grazie alla possibilità di spostarsi lateralmente nella rete e sfruttare i legami tra SharePoint e altri servizi Microsoft come Outlook, Teams e OneDrive. Gli hacker riescono a sottrarre le chiavi di sicurezza interne di SharePoint, che utilizzano per continuare ad entrare anche dopo che il problema sembra risolto.

L'attacco punta a restare invisibile, infiltrandosi nella rete interna e muovendosi in maniera nascosta tra cartelle, utenti e credenziali. La compromissione avviene in modo silenzioso: gli aggressori si muovono nella rete interna, sottraggono credenziali, modificano file e installano accessi persistenti senza essere immediatamente rilevati. La sola applicazione della patch, se non accompagnata da un'efficace strategia di detection e reazione, può non essere sufficiente.

Impatto su organizzazioni e infrastrutture

⬆ Torna su

SharePoint rappresenta in molte organizzazioni uno snodo operativo dove transitano documenti riservati, flussi di approvazione, processi regolamentati e asset digitali sensibili. L'attacco ha colpito in particolare le versioni on-premises del software, utilizzate spesso per esigenze di controllo diretto, compliance o vincoli contrattuali. In Italia, SharePoint è ampiamente utilizzato in amministrazioni locali, università, aziende sanitarie, centrali operative, enti appaltanti e nel mondo produttivo. L'Agenzia per la Cybersicurezza Nazionale ha emesso un alert, affiancandosi agli avvisi diffusi da CISA, FBI, Microsoft e agenzie europee.

Secondo quanto riferito da funzionari statali e ricercatori privati, gli hacker hanno sfruttato la vulnerabilità zero-day ToolShell nel software dei server Microsoft per sferrare un attacco globale ad agenzie governative ed aziende. Almeno 75 i server già colpiti secondo alcune stime, mentre decine di migliaia di questi server sarebbero a rischio. L'attacco ha provocato violazioni ad agenzie federali e statali statunitensi, università, aziende energetiche e una società di telecomunicazioni asiatica.

Il gruppo statunitense ha attribuito l'azione anche ad attori cinesi, accusa che ha indignato Pechino. Il Segretario al Tesoro statunitense Scott Bessent ha lasciato intendere che si discuterà anche degli attacchi informatici a SharePoint durante il terzo round di colloqui commerciali con i omologhi cinesi a Stoccolma.

Risposta istituzionale e raccomandazioni

⬆ Torna su

L'FBI ha confermato di essere a conoscenza degli attacchi e di stare lavorando a stretto contatto con i partner federali e del settore privato per contenere la minaccia. Microsoft ha coordinato la propria risposta con CISA, DOD Cyber Defense Command e altri partner chiave della cybersicurezza a livello globale. L'Agenzia per la cybersicurezza statunitense ha pubblicato una pagina con le indicazioni da seguire per mettere al sicuro i propri sistemi, così come l'Agenzia per la cybersicurezza nazionale italiana.

L'ACN ha fornito una serie di azioni di mitigazione utili per gli utenti e le organizzazioni nel far fronte a questa tipologia di attacchi, verificando scrupolosamente le e-mail ricevute e attivando misure aggiuntive. Tra le raccomandazioni: effettuare il monitoraggio dei log di SharePoint per scoprire eventuali anomalie nelle attività, accessi privi di autorizzazione o sospetti di modifiche ai file; segmentare la rete, rivalutando i controlli di accesso per ostacolare eventuali movimenti laterali se il server fosse compromesso; adottare misure aggiuntive come la rotazione delle chiavi ASP.NET, l'analisi approfondita dei log, la verifica dei comportamenti anomali nei processi IIS e, nei casi più critici, l'isolamento temporaneo dei server esposti.

In light of active exploitation, Federal Civilian Executive Branch (FCEB) agencies sono raccomandate di applicare le patch per CVE-2025-66376 entro il 1° aprile 2026, e per CVE-2026-20963 entro il 23 marzo 2026. Per CVE-2026-2096, non esistono attualmente rapporti pubblici che ne riferiscano lo sfruttamento, l'identità dell'attore della minaccia che la sta sfruttando, e la scala di tali sforzi.

Cloud vs on-premises: differenze nella resilienza

⬆ Torna su

Uno degli aspetti centrali emerso da questo attacco è il fatto che SharePoint Online, parte dell'offerta cloud di Microsoft 365, non è stato colpito. L'architettura cloud ha mostrato maggiore resistenza, grazie alla gestione centralizzata degli aggiornamenti, all'adozione di modelli Zero Trust, al monitoraggio continuo e alla capacità di bloccare comportamenti anomali in modo automatico. La resilienza operativa e la sicurezza dei dati passano sempre più attraverso modelli infrastrutturali flessibili, distribuiti e automatizzati, in cui le responsabilità sono condivise tra provider, IT interno e funzioni di compliance.

Le infrastrutture on-premises risultano particolarmente fragili se non vengono aggiornate tempestivamente, se non vengono monitorate in modo continuo e se sono configurate in ambienti poco segmentati. Sistemi fondamentali per la governance digitale e per la conformità normativa, incluse direttive come NIS2, GDPR e DORA, potrebbero risultare esposti a minacce in grado di compromettere integrità, disponibilità e riservatezza delle informazioni.

Il problema, secondo gli esperti, non è solo tecnico ma sistemico: i dati vengono affidati a colossi che continuano a mostrarsi vulnerabili, mentre le aziende, spesso senza segmentazione né monitoraggio, restano esposte. La sicurezza informatica deve diventare una responsabilità di vertice, con una cultura del rischio digitale che coinvolga i board, valorizzi la collaborazione tra IT, compliance, legale e risk management, e sia supportata da processi strutturati di prevenzione, risposta e rendicontazione.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La contemporanea esposizione di vulnerabilità zero-day in piattaforme diffuse come SharePoint e Zimbra evidenzia una convergenza di minacce verso infrastrutture collaborative critiche. La persistenza degli accessi anche dopo il patching, documentata nel caso ToolShell, suggerisce che la sola applicazione degli aggiornamenti potrebbe non essere sufficiente dove la compromissione è già avvenuta.

• Scenario 1: le organizzazioni con server SharePoint on-premises già compromessi potrebbero subire accessi prolungati tramite backdoor o chiavi sottratte, con possibile movimento laterale verso servizi connessi come Teams e OneDrive.
• Scenario 2: la diffusione di campagne phishing evolute come GhostMail potrebbe estendersi ad altri target istituzionali, sfruttando la fiducia in comunicazioni apparentemente legittime.
• Scenario 3: le tensioni geopolitiche legate alle attribuzioni degli attacchi potrebbero influenzare le risposte diplomatiche e le strategie di cybersicurezza a livello internazionale.

Cosa monitorare

⬆ Torna su

• Log di SharePoint per rilevare anomalie, accessi non autorizzati e modifiche sospette ai file.
• Comunicazioni istituzionali di CISA, ACN e CSIRT per aggiornamenti su nuove vulnerabilità o indicazioni operative.
• Indicatori di compromissione legati a ToolShell e GhostMail per verificare eventuali infezioni in corso.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://thehackernews.com/2026/03/cisa-warns-of-zimbra-sharepoint-flaw.html
• https://www.cybersecurity360.it/news/attacco-ai-server-sharepoint-di-microsoft-come-mitigare-il-rischio-di-toolshell-anche-in-italia/
• https://www.cybersecitalia.it/campagna-phishing-a-tema-zimbra-il-bollettino-del-csirt-italia-come-opera-e-come-difendersi/50568/
• https://www.sergentelorusso.it/attacco-globale-ai-server-sharepoint-cosa-e-successo-e-cosa-insegna-sulla-sicurezza-del-cloud/
• https://www.ilfattoquotidiano.it/2025/07/23/attacco-hacker-sharepoint-cina-governi-notizie-2/8071502/
• https://www.italiareportusa.com/ultimissime/attacco-hacker-a-microsoft-sharepoint-sfruttata-una-falla-nel-software/
• https://www.striscialanotizia.mediaset.it/news/attacco-hacker-globale-i-pirati-sfruttano-vulnerabilita-di-microsoft-sharepoint-falla-zero-day_868823