Il gruppo di hacker World Leaks hanno hackerato una delle piattaforme demo di Dell e hanno cercato di estorcere denaro all’azienda. Dell riferisce che i criminali hanno rubato solo dati “sintetici” (fittizi). I rappresentanti di Dell hanno confermato ai media che gli aggressori sono riusciti a penetrare nella piattaforma Customer Solution Centers, utilizzata per presentare prodotti e soluzioni ai clienti.

“Gli aggressori hanno recentemente ottenuto l’accesso al nostro Solution Center, un ambiente progettato per presentare i nostri prodotti e testare le prove per i clienti commerciali di Dell. La piattaforma è intenzionalmente separata dai sistemi dei clienti e dei partner, nonché dalle reti di Dell, e non viene utilizzata per fornire servizi ai clienti”, ha spiegato l’azienda.

Si sottolinea in modo specifico che i dati utilizzati nel Solution Center sono principalmente sintetici (fittizi), vale a dire costituiti da set di dati disponibili al pubblico, informazioni di sistema e risultati di test non classificati, destinati esclusivamente alla dimostrazione dei prodotti Dell. “In base alle indagini in corso, i dati ottenuti dagli aggressori sono principalmente sintetici, disponibili al pubblico oppure dati di sistema o di test”, ha affermato Dell.

Secondo Bleeping Computer, il team di World Leaks credeva di aver rubato 1,3 TB di informazioni preziose da Dell, inclusi dati medici e finanziari. Tuttavia, secondo la pubblicazione, gli hacker si sono ritrovati con un falso file, e l’unico dato reale nel dump era una lista di contatti obsoleta. I giornalisti hanno cercato di chiarire con i rappresentanti di Dell come esattamente l’azienda sia stata hackerata, ma non hanno ricevuto risposta. L’azienda ha fatto riferimento all’indagine in corso e ha affermato che non condividerà alcuna informazione fino al suo completamento.

Ricordiamo che, secondo gli specialisti della sicurezza informatica , il gruppo World Leaks, apparso all’inizio del 2025, è un “rebranding” del gruppo RaaS (Ransomware-as-a-Service) Hunters International, che ha recentemente annunciato la sua chiusura. World Leaks si concentra esclusivamente sul furto di informazioni, il che significa che non utilizza ransomware. Le tattiche del gruppo si basano sul furto di dati e sul trarne il massimo beneficio, estorcendo denaro alle aziende vittime o vendendo le informazioni a chi ne è interessato.

World Leaks ha ora iniziato a pubblicare i dati rubati di Dell sul proprio sito web. Gran parte di queste informazioni consiste in script di configurazione, backup e dati di sistema relativi all’implementazione di vari sistemi IT. Il dump include password per configurare le apparecchiature. Tuttavia, sembra che la fuga di notizie non contenga dati aziendali o dei clienti sensibili.

L'articolo World Leaks pensava di aver bucato Dell, ma i dati erano fittizi. Come andrà a finire? proviene da il blog della sicurezza informatica.

Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, è emerso che gli aggressori hanno compromesso anche la rete della National Nuclear Security Administration (NSA) statunitense, come riportato nell’articolo precedente.

ToolShell

La catena di vulnerabilità 0-day in SharePoint è stata denominata ToolShell ed è stata dimostrata per la prima volta durante la competizione di hacking Pwn2Own di Berlino nel maggio 2025. In quell’occasione, gli specialisti di Viettel Cyber Security hanno combinato due difetti (CVE-2025-49706 e CVE-2025-49704) per eseguire un attacco RCE.

Sebbene Microsoft abbia rilasciato patch per entrambe le vulnerabilità di ToolShell nel luglio 2025, gli aggressori sono riusciti a eludere le correzioni utilizzando nuovi exploit. Di conseguenza, sono state identificate nuove vulnerabilità, la CVE-2025-53770 (9,8 punti sulla scala CVSS; bypass della patch per CVE-2025-49704) e CVE-2025-53771 (6,3 punti sulla scala CVSS; bypass della patch per CVE-2025-49706). La scorsa settimana, gli analisti di Eye Security hanno segnalato che nuove vulnerabilità sono già state sfruttate per attaccare i server SharePoint locali.

Di conseguenza, gli sviluppatori Microsoft hanno già rilasciato patch di emergenza per entrambi i problemi RCE, ripristinando le vulnerabilità in SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016:

• KB5002754 per Microsoft SharePoint Server 2019 Core e KB5002753 per Microsoft SharePoint Server 2019 Language Pack;
• KB5002760 per Microsoft SharePoint Enterprise Server 2016 e KB5002759 per il Language Pack di Microsoft SharePoint Enterprise Server 2016;
• KB5002768 per l’edizione in abbonamento di Microsoft SharePoint.

Inoltre, Microsoft consiglia vivamente agli amministratori di eseguire la rotazione delle chiavi dopo l’installazione delle patch. Si consiglia inoltre di integrare e abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o altre soluzioni simili) per tutte le distribuzioni di SharePoint locali e di configurare AMSI in modalità completa.

Attacchi

Come riportato da numerosi report di esperti, decine di organizzazioni in tutto il mondo sono già state vittime di attacchi. Ad esempio, report sullo sfruttamento di questi bug sono stati pubblicati da Cisco Talos , Censys , Check Point , CrowdStrike , Palo Alto Networks , Qualys , SentinelOne , Tenable , Trend Micro e così via.

A loro volta, gli esperti Microsoft scrivono che nuove vulnerabilità sono state sfruttate dai gruppi APT cinesi Linen Typhoon (noti anche come APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix e UNC215), Violet Typhoon (noti anche come APT31, Bronze Vinewood, Judgement Panda, Red Keres e Zirconium) e da un terzo gruppo di hacker cinesi, Storm-2603. Le informazioni sugli attacchi di hacker cinesi a SharePoint sono confermate anche dagli specialisti di Google Cloud di Mandiant Consulting.

Contemporaneamente, secondo gli specialisti di Check Point, i primi segnali di sfruttamento delle vulnerabilità sono stati scoperti il 7 luglio 2025. Gli aggressori hanno attaccato decine di organizzazioni nei settori governativo, delle telecomunicazioni e dell’IT in Nord America e nell’Europa occidentale. Microsoft ha condiviso i seguenti indicatori di compromissione (IOC) per aiutare i difensori a identificare i server SharePoint compromessi:

• 199.202[.]205: indirizzo IP che sfrutta le vulnerabilità di SharePoint;
• 238.159[.]149: indirizzo IP che sfrutta le vulnerabilità di SharePoint;
• 130.206[.]168: indirizzo IP che sfrutta le vulnerabilità di SharePoint;
• 226.2[.]6: server di controllo utilizzato per il post-sfruttamento;
• aspx: una web shell distribuita dagli aggressori (nota anche come spinstall.aspx, spinstall1.aspx e spinstall2.aspx);
• ngrok-free[.]app/file.ps1: tunnel Ngrok utilizzato per distribuire PowerShell.

A peggiorare le cose, questa settimana è stato rilasciato su GitHub un exploit proof-of-concept per il CVE-2025-53770, per cui i ricercatori di sicurezza si aspettano che altri gruppi di hacker si uniscano presto agli attacchi di ToolShell. Secondo gli esperti di Eye Security, almeno 400 server e 148 organizzazioni in tutto il mondo sono attualmente stati colpiti da attacchi ToolShell.

Vale anche la pena notare che oggi è emerso che la National Nuclear Security Administration (NNSA) statunitense è stata vittima dell’attacco ToolShell. Questa agenzia fa parte del Dipartimento dell’Energia degli Stati Uniti, è responsabile dello stoccaggio delle scorte di armi nucleari del Paese e della risposta alle emergenze nucleari e radiologiche negli Stati Uniti e all’estero.

L'articolo ToolShell: La Vulnerabilità zero-day in Microsoft SharePoint è sotto attacco da inizio di luglio proviene da il blog della sicurezza informatica.

Un attacco informatico di vasta portata ha violato la National Nuclear Security Administration (NNSA) degli Stati Uniti attraverso il software per documenti Sharepoint di Microsoft, ha confermato mercoledì il Dipartimento dell’Energia a Fox News Digital. Al momento l’agenzia non è a conoscenza di alcun furto di informazioni sensibili o classificate.

“Venerdì 18 luglio, lo sfruttamento di una vulnerabilità zero-day di Microsoft SharePoint ha iniziato a colpire il Dipartimento dell’Energia”, ha dichiarato un portavoce dell’agenzia in un’e-mail. “Il dipartimento è stato minimamente colpito grazie all’ampio utilizzo del cloud Microsoft M365 e ai sistemi di sicurezza informatica molto efficienti. Un numero molto limitato di sistemi è stato interessato. Tutti i sistemi interessati sono in fase di ripristino.”

La NNSA ha una missione ampia, che include, tra gli altri compiti, la fornitura alla Marina di reattori nucleari per i sottomarini e la risposta alle emergenze radiologiche. L’agenzia svolge anche un ruolo chiave nella lotta al terrorismo e nel trasporto di armi nucleari in tutto il paese.

Gli hacker criminali sono riusciti a violare i dati dell’agenzia nell’ambito di un attacco del 2020 a un software ampiamente utilizzato di SolarWinds Corp. Un portavoce del dipartimento ha affermato in quell’occasione che il malware era “stato isolato solo nelle reti aziendali”.

Microsoft ha attribuito gli attacchi ad hacker cinesi sponsorizzati dallo Stato, che hanno sfruttato le falle del suo software di gestione documentale SharePoint, ampiamente utilizzato, in una campagna che ha violato i dati di governi, aziende e altre organizzazioni in tutto il mondo. In alcuni casi, gli hacker hanno rubato credenziali di accesso, inclusi nomi utente, password, codici hash e token, come riportato in precedenza da Bloomberg.

Oltre al Dipartimento dell’Energia, gli hacker hanno violato i sistemi dei governi nazionali in Europa e Medio Oriente, del Dipartimento dell’Istruzione degli Stati Uniti, del Dipartimento delle Entrate della Florida e dell’Assemblea generale del Rhode Island. L’entità del danno non è ancora chiara. Le falle riguardano i clienti SharePoint che gestiscono il software sulle proprie reti, anziché sul cloud.

Microsoft, in un post sul blog pubblicato martedì, ha identificato due gruppi supportati dal governo cinese, Linen Typhoon e Violet Typhoon, che sfruttano le falle nel software SharePoint. Un altro gruppo di hacker con sede in Cina, che Microsoft chiama Storm-2603, ha anch’esso sfruttato le vulnerabilità di SharePoint, secondo quanto riportato dal blog.

L'articolo Microsoft SharePoint nel mirino. Violata l’agenzia nucleare USA proviene da il blog della sicurezza informatica.

Yes, the Wireless Application Protocol! What other WAP could there possibly be? This long-dormant cellphone standard is now once again available on the web, thanks to [Sean] over at ActionRetro modifying his FrogFind portal as a translation engine. Now any web site can be shoved through the WAP!

WAP was rolled out in 1999 as HTML for phones without the bandwidth to handle actual HTML. The idea of a “mobile” and a “desktop” site accessed via HTTP hadn’t yet been conceived, you see, so phoning into sites with WAP would produce a super-stripped down, paginated, text-only version of the page. Now FrogFind has a WAP version that does the same thing to any site, just as the HTTP (no S!) FrogFind translates the modern web into pure HTML vintage browsers can read.

Of course you’ll need a phone that can connect to FrogFind with a WAP browser, which for many of us, may be… difficult. This protocol didn’t last much longer than PETS.COM, so access is probably going to be over 2G. With 2G sunset already passed in many areas, that can be a problem for vintage computer enthusiasts who want to use vintage phone hardware. [Sean] does not have an answer — indeed, he’s actively searching for one. His fans have pointed out a few models of handsets that should be able to access WAP via WiFi, but that leaves a lot of retro hardware out in the cold. If you have a good idea for a 2G bridge that can get out to the modern web and not attract the angry attention of the FTC (or its local equivalent), fans of ActionRetro would love to hear it — and so would we!

Vintage phone hacks don’t show up often on Hackaday, and when they do, it’s either much older machines or upgrading to USB-C, not to modern communications protocols. We haven’t seen someone hacking in the WAP since 2008. Given the collective brainpower of the Hackaday commentariat, someone probably has an idea to let everyone dive right into the WAP. Fight it out in the comments, or send us a tip if you have link to a howto.

youtube.com/embed/D62ZsVZCjAA?…

hackaday.com/2025/07/23/frogfi…

Negli ultimi giorni il panorama digitale globale è stato scosso da un bug di sicurezza informatica che ha colpito i server Microsoft SharePoint on-premise, esponendo migliaia di organizzazioni ad Attacchi informatici. Un evento che, per modalità e impatto, richiama alla memoria quanto accaduto nel luglio del 2024, quando un aggiornamento difettoso di CrowdStrike generò un blackout informatico su scala mondiale.

Non si tratta di crisi realizzate nel giro di pochi giorni, ma di segnali che rivelano una fragilità sistemica, maturata nel tempo, dentro infrastrutture digitali sempre più interconnesse. Due episodi distinti ma emblematici, che mostrano come la sicurezza non sia un’opzione tecnica, ma un elemento di equilibrio tra controllo, cultura e governance.

Un bug grave e silenzioso

Gli attacchi che hanno sfruttato Microsoft SharePoint hanno avuto caratteristiche ben precise. Non si è trattato di una classica esfiltrazione di dati o di un ransomware con richieste di riscatto, ma di qualcosa di più profondo: una falla zero-day, non nota nemmeno al produttore al momento dell’attacco.

I bersagli sono stati selezionati con attenzione chirurgica. Enti federali statunitensi, agenzie governative europee, università, aziende dell’energia, telecomunicazioni asiatiche. Gli attaccanti hanno preso di mira le installazioni on-premise, cioè quelle versioni di SharePoint che le organizzazioni scelgono deliberatamente di tenere all’interno, considerate più sicure rispetto al cloud. Una fiducia mal riposta.

Dalla vulnerabilità all’accesso persistente

I criminali informatici sono riusciti a ottenere accesso privilegiato aggirando controlli di sicurezza come l’autenticazione multifattore (MFA) e il single sign-on (SSO). Una volta entrati, si sono mossi in modo preciso: sottraendo chiavi crittografiche, esfiltrazione mirata, installazione di backdoor.

L’elemento centrale non è solo ciò che è stato trafugato, ma ciò che è stato lasciato. Un accesso duraturo. Le chiavi sottratte consentono potenzialmente di rientrare anche dopo l’applicazione delle patch. Il rischio non è solo nel dato violato, ma nella possibilità futura di un ritorno invisibile.

La risposta di Microsoft e il limite delle patch

Microsoft ha rilasciato patch per SharePoint Server 2019 e per la Subscription Edition. Tuttavia, la versione Enterprise 2016, ancora oggi molto diffusa, resta vulnerabile in attesa di un aggiornamento specifico.
Questo ritardo, unito all’incertezza sulle tempistiche dell’attacco, rappresenta un rischio ulteriore. Come sottolineato da un ricercatore citato dal Washington Post, “rilasciare una patch lunedì o martedì non aiuta chi è stato compromesso nelle ultime 72 ore“. La finestra temporale di esposizione è sufficiente perché un attaccante ben organizzato possa stabilire una presenza duratura nei sistemi.

Un’infrastruttura interconnessa e vulnerabile

SharePoint non è un servizio isolato. È profondamente integrato con l’intero ecosistema Microsoft: Teams, OneDrive, Outlook, Office. Questa interconnessione, utile per la produttività, rappresenta un moltiplicatore del rischio. Una compromissione in SharePoint può spalancare l’accesso all’identità digitale dell’intera organizzazione.
La raccomandazione, condivisa da diverse agenzie tra cui l’FBI, CISA e l’Agenzia per la Cybersicurezza Nazionale, è drastica: scollegare i server vulnerabili da internet. Ma non tutte le organizzazioni sono pronte a farlo. Spesso la rigidità operativa, la mancanza di processi di risposta o semplicemente la sottovalutazione del rischio impediscono reazioni rapide ed efficaci.

Il blackout causato da CrowdStrike

Nel luglio del 2024, un aggiornamento difettoso di CrowdStrike, uno dei principali fornitori mondiali di soluzioni di sicurezza, ha generato un blackout informatico su scala globale. Il file corrotto, distribuito in modalità kernel, ha causato il blocco e il riavvio continuo di milioni di macchine Windows in tutto il mondo. Risolvere il problema da remoto era impossibile: è stato necessario l’intervento manuale su ogni dispositivo compromesso.

La scala dell’incidente, unita alla natura privilegiata del software coinvolto, ha prodotto un effetto domino che ha colpito anche servizi terzi, svelando una fragilità profonda nella gestione dell’infrastruttura digitale globale.
Non si è trattato di un attacco. Ma gli effetti sono stati equivalenti a quelli di un’azione malevola di tipo globale. Le macchine entravano in un ciclo infinito di riavvii. Il ripristino da remoto era impossibile. In molti casi è stato necessario l’intervento fisico su ciascuna macchina coinvolta.

La catena della fiducia digitale si è spezzata

CrowdStrike è utilizzato da oltre metà delle aziende Fortune 500, e da numerose realtà pubbliche e infrastrutturali. Quando cade un anello così critico, l’intero ecosistema ne risente. Anche organizzazioni che non usano direttamente Falcon sono state impattate perché si appoggiavano a sistemi basati su macchine protette da CrowdStrike.
Questo evento ha riportato alla luce la pericolosa interdipendenza dei fornitori di sicurezza. Un singolo errore, in una singola riga di codice, può produrre effetti sistemici a livello planetario. Non è più sufficiente fidarsi delle soluzioni leader di mercato. È necessario governare l’intera catena tecnologica.

Non tutti gli attacchi sono uguali

Entrambi i casi – l’attacco a SharePoint e il blackout causato da CrowdStrike – mostrano con chiarezza che la sicurezza informatica non è un semplice problema tecnico da risolvere con strumenti e budget. È una questione di governance, di cultura, di organizzazione. Chi si muove nell’illegalità ha un vantaggio spesso sottovalutato: può operare senza vincoli. Nel dark web gli attaccanti condividono liberamente strumenti, exploit, credenziali rubate e infrastrutture pronte all’uso. Esistono marketplace ben strutturati, reti di collaborazione informale, canali di supporto tra gruppi criminali e persino modelli di business come l'”hacking-as-a-service”.

Gli strumenti per condurre campagne avanzate sono accessibili a chiunque abbia risorse e intenzioni, e si aggiornano con una velocità che le difese formali difficilmente riescono a eguagliare. I tempi di sviluppo sono rapidi, le fasi di test avvengono direttamente su bersagli reali, e l’intero ciclo di attacco può essere automatizzato e su scala industriale.

Chi invece si occupa di difesa si muove in un contesto molto diverso. Deve rispettare normative, operare su sistemi spesso ereditati e frammentati, sottostare a processi lenti e rigidità organizzative. Le decisioni vengono prese dopo lunghi iter di approvazione, gli aggiornamenti devono essere testati su ambienti critici, e ogni azione ha conseguenze legali e operative. Non si può improvvisare. L’asimmetria è profonda, e spesso a favore di chi attacca.

A rendere il quadro ancora più complesso è la natura degli attacchi. Alcune violazioni derivano da una cultura della sicurezza ancora troppo fragile, password deboli, sistemi non aggiornati, esposizioni inconsapevoli, errori di configurazione. Ma l’attacco realizzato in questi giorni contro SharePoint va ben oltre. Richiede competenze, tempo, risorse, conoscenza profonda delle architetture bersaglio. Non è il frutto di un’opportunità colta al volo, ma di un’organizzazione strutturata, con capacità di persistenza, di elusione dei controlli e di esfiltrazione discreta. Questo tipo di operazione rivela una minaccia qualitativamente diversa, capace di agire silenziosamente, coordinando tecniche avanzate in contesti complessi.

Una cultura della sicurezza che ancora manca

In molte realtà la sicurezza è ancora trattata come un costo, un adempimento, una checklist da completare. Ma oggi non è più possibile pensare alla cybersecurity come un progetto da attivare e disattivare. È una funzione strategica continua, che richiede visione, investimenti intelligenti, ma soprattutto consapevolezza diffusa.

Serve una cultura che riconosca il valore della prevenzione, del controllo, della simulazione di scenari. Una cultura che investa nella formazione, nella responsabilità distribuita, nella costruzione di filiere tecnologiche più robuste.
A questa carenza si aggiunge una significativa mancanza di chiarezza su cosa sia realmente possibile fare in ambito cybersecurity, generando spesso timori giustificati. Sovente, infatti, si teme che proteggere i sistemi con determinati metodi possa configurare un reato o, comunque, rappresentare un’attività al limite della legalità. Questo vuoto informativo crea incertezza e frena l’adozione di misure di difesa efficaci.

Solo da poco tempo sono nati studi universitari dedicati alla cybersecurity, e sarà necessario ancora un lungo percorso prima che si formi una classe estesa di esperti con competenze trasversali che integrino conoscenze tecniche e giuridiche.

Inoltre, nella realtà giudiziaria attuale, non esistono albi professionali specifici per gli esperti in sicurezza informatica. Di conseguenza, l’attività di un esperto viene spesso valutata da consulenti con competenze limitate rispetto al campo specifico, creando una situazione di disparità che complica ulteriormente la gestione e la valutazione delle pratiche di cybersecurity.

La sovranità tecnologica come questione aperta

Infine, questi eventi riportano in primo piano il dibattito sulla sovranità digitale e tecnologica. L’Europa ha da tempo in agenda l’idea di creare un mercato unico dei prodotti di sicurezza, favorendo soluzioni trasparenti, verificabili, aderenti alle normative continentali. Ma la frammentazione delle priorità politiche ha spesso rallentato l’attuazione di queste visioni.

Non si tratta di costruire un sistema operativo europeo, ma di mettere al centro la possibilità di controllare e verificare le componenti critiche delle nostre infrastrutture. Software con codice ispezionabile, standard comuni, trasparenza sugli aggiornamenti.

Una strategia che oggi non è più solo auspicabile. È necessaria.

L'articolo SharePoint e CrowdStrike: due facce della stessa fragilità digitale proviene da il blog della sicurezza informatica.