Negli ultimi giorni il panorama digitale globale è stato scosso da un bug di sicurezza informatica che ha colpito i server Microsoft SharePoint on-premise, esponendo migliaia di organizzazioni ad Attacchi informatici. Un evento che, per modalità e impatto, richiama alla memoria quanto accaduto nel luglio del 2024, quando un aggiornamento difettoso di CrowdStrike generò un blackout informatico su scala mondiale.

Non si tratta di crisi realizzate nel giro di pochi giorni, ma di segnali che rivelano una fragilità sistemica, maturata nel tempo, dentro infrastrutture digitali sempre più interconnesse. Due episodi distinti ma emblematici, che mostrano come la sicurezza non sia un’opzione tecnica, ma un elemento di equilibrio tra controllo, cultura e governance.

Un bug grave e silenzioso

Gli attacchi che hanno sfruttato Microsoft SharePoint hanno avuto caratteristiche ben precise. Non si è trattato di una classica esfiltrazione di dati o di un ransomware con richieste di riscatto, ma di qualcosa di più profondo: una falla zero-day, non nota nemmeno al produttore al momento dell’attacco.

I bersagli sono stati selezionati con attenzione chirurgica. Enti federali statunitensi, agenzie governative europee, università, aziende dell’energia, telecomunicazioni asiatiche. Gli attaccanti hanno preso di mira le installazioni on-premise, cioè quelle versioni di SharePoint che le organizzazioni scelgono deliberatamente di tenere all’interno, considerate più sicure rispetto al cloud. Una fiducia mal riposta.

Dalla vulnerabilità all’accesso persistente

I criminali informatici sono riusciti a ottenere accesso privilegiato aggirando controlli di sicurezza come l’autenticazione multifattore (MFA) e il single sign-on (SSO). Una volta entrati, si sono mossi in modo preciso: sottraendo chiavi crittografiche, esfiltrazione mirata, installazione di backdoor.

L’elemento centrale non è solo ciò che è stato trafugato, ma ciò che è stato lasciato. Un accesso duraturo. Le chiavi sottratte consentono potenzialmente di rientrare anche dopo l’applicazione delle patch. Il rischio non è solo nel dato violato, ma nella possibilità futura di un ritorno invisibile.

La risposta di Microsoft e il limite delle patch

Microsoft ha rilasciato patch per SharePoint Server 2019 e per la Subscription Edition. Tuttavia, la versione Enterprise 2016, ancora oggi molto diffusa, resta vulnerabile in attesa di un aggiornamento specifico.
Questo ritardo, unito all’incertezza sulle tempistiche dell’attacco, rappresenta un rischio ulteriore. Come sottolineato da un ricercatore citato dal Washington Post, “rilasciare una patch lunedì o martedì non aiuta chi è stato compromesso nelle ultime 72 ore“. La finestra temporale di esposizione è sufficiente perché un attaccante ben organizzato possa stabilire una presenza duratura nei sistemi.

Un’infrastruttura interconnessa e vulnerabile

SharePoint non è un servizio isolato. È profondamente integrato con l’intero ecosistema Microsoft: Teams, OneDrive, Outlook, Office. Questa interconnessione, utile per la produttività, rappresenta un moltiplicatore del rischio. Una compromissione in SharePoint può spalancare l’accesso all’identità digitale dell’intera organizzazione.
La raccomandazione, condivisa da diverse agenzie tra cui l’FBI, CISA e l’Agenzia per la Cybersicurezza Nazionale, è drastica: scollegare i server vulnerabili da internet. Ma non tutte le organizzazioni sono pronte a farlo. Spesso la rigidità operativa, la mancanza di processi di risposta o semplicemente la sottovalutazione del rischio impediscono reazioni rapide ed efficaci.

Il blackout causato da CrowdStrike

Nel luglio del 2024, un aggiornamento difettoso di CrowdStrike, uno dei principali fornitori mondiali di soluzioni di sicurezza, ha generato un blackout informatico su scala globale. Il file corrotto, distribuito in modalità kernel, ha causato il blocco e il riavvio continuo di milioni di macchine Windows in tutto il mondo. Risolvere il problema da remoto era impossibile: è stato necessario l’intervento manuale su ogni dispositivo compromesso.

La scala dell’incidente, unita alla natura privilegiata del software coinvolto, ha prodotto un effetto domino che ha colpito anche servizi terzi, svelando una fragilità profonda nella gestione dell’infrastruttura digitale globale.
Non si è trattato di un attacco. Ma gli effetti sono stati equivalenti a quelli di un’azione malevola di tipo globale. Le macchine entravano in un ciclo infinito di riavvii. Il ripristino da remoto era impossibile. In molti casi è stato necessario l’intervento fisico su ciascuna macchina coinvolta.

La catena della fiducia digitale si è spezzata

CrowdStrike è utilizzato da oltre metà delle aziende Fortune 500, e da numerose realtà pubbliche e infrastrutturali. Quando cade un anello così critico, l’intero ecosistema ne risente. Anche organizzazioni che non usano direttamente Falcon sono state impattate perché si appoggiavano a sistemi basati su macchine protette da CrowdStrike.
Questo evento ha riportato alla luce la pericolosa interdipendenza dei fornitori di sicurezza. Un singolo errore, in una singola riga di codice, può produrre effetti sistemici a livello planetario. Non è più sufficiente fidarsi delle soluzioni leader di mercato. È necessario governare l’intera catena tecnologica.

Non tutti gli attacchi sono uguali

Entrambi i casi – l’attacco a SharePoint e il blackout causato da CrowdStrike – mostrano con chiarezza che la sicurezza informatica non è un semplice problema tecnico da risolvere con strumenti e budget. È una questione di governance, di cultura, di organizzazione. Chi si muove nell’illegalità ha un vantaggio spesso sottovalutato: può operare senza vincoli. Nel dark web gli attaccanti condividono liberamente strumenti, exploit, credenziali rubate e infrastrutture pronte all’uso. Esistono marketplace ben strutturati, reti di collaborazione informale, canali di supporto tra gruppi criminali e persino modelli di business come l'”hacking-as-a-service”.

Gli strumenti per condurre campagne avanzate sono accessibili a chiunque abbia risorse e intenzioni, e si aggiornano con una velocità che le difese formali difficilmente riescono a eguagliare. I tempi di sviluppo sono rapidi, le fasi di test avvengono direttamente su bersagli reali, e l’intero ciclo di attacco può essere automatizzato e su scala industriale.

Chi invece si occupa di difesa si muove in un contesto molto diverso. Deve rispettare normative, operare su sistemi spesso ereditati e frammentati, sottostare a processi lenti e rigidità organizzative. Le decisioni vengono prese dopo lunghi iter di approvazione, gli aggiornamenti devono essere testati su ambienti critici, e ogni azione ha conseguenze legali e operative. Non si può improvvisare. L’asimmetria è profonda, e spesso a favore di chi attacca.

A rendere il quadro ancora più complesso è la natura degli attacchi. Alcune violazioni derivano da una cultura della sicurezza ancora troppo fragile, password deboli, sistemi non aggiornati, esposizioni inconsapevoli, errori di configurazione. Ma l’attacco realizzato in questi giorni contro SharePoint va ben oltre. Richiede competenze, tempo, risorse, conoscenza profonda delle architetture bersaglio. Non è il frutto di un’opportunità colta al volo, ma di un’organizzazione strutturata, con capacità di persistenza, di elusione dei controlli e di esfiltrazione discreta. Questo tipo di operazione rivela una minaccia qualitativamente diversa, capace di agire silenziosamente, coordinando tecniche avanzate in contesti complessi.

Una cultura della sicurezza che ancora manca

In molte realtà la sicurezza è ancora trattata come un costo, un adempimento, una checklist da completare. Ma oggi non è più possibile pensare alla cybersecurity come un progetto da attivare e disattivare. È una funzione strategica continua, che richiede visione, investimenti intelligenti, ma soprattutto consapevolezza diffusa.

Serve una cultura che riconosca il valore della prevenzione, del controllo, della simulazione di scenari. Una cultura che investa nella formazione, nella responsabilità distribuita, nella costruzione di filiere tecnologiche più robuste.
A questa carenza si aggiunge una significativa mancanza di chiarezza su cosa sia realmente possibile fare in ambito cybersecurity, generando spesso timori giustificati. Sovente, infatti, si teme che proteggere i sistemi con determinati metodi possa configurare un reato o, comunque, rappresentare un’attività al limite della legalità. Questo vuoto informativo crea incertezza e frena l’adozione di misure di difesa efficaci.

Solo da poco tempo sono nati studi universitari dedicati alla cybersecurity, e sarà necessario ancora un lungo percorso prima che si formi una classe estesa di esperti con competenze trasversali che integrino conoscenze tecniche e giuridiche.

Inoltre, nella realtà giudiziaria attuale, non esistono albi professionali specifici per gli esperti in sicurezza informatica. Di conseguenza, l’attività di un esperto viene spesso valutata da consulenti con competenze limitate rispetto al campo specifico, creando una situazione di disparità che complica ulteriormente la gestione e la valutazione delle pratiche di cybersecurity.

La sovranità tecnologica come questione aperta

Infine, questi eventi riportano in primo piano il dibattito sulla sovranità digitale e tecnologica. L’Europa ha da tempo in agenda l’idea di creare un mercato unico dei prodotti di sicurezza, favorendo soluzioni trasparenti, verificabili, aderenti alle normative continentali. Ma la frammentazione delle priorità politiche ha spesso rallentato l’attuazione di queste visioni.

Non si tratta di costruire un sistema operativo europeo, ma di mettere al centro la possibilità di controllare e verificare le componenti critiche delle nostre infrastrutture. Software con codice ispezionabile, standard comuni, trasparenza sugli aggiornamenti.

Una strategia che oggi non è più solo auspicabile. È necessaria.

L'articolo SharePoint e CrowdStrike: due facce della stessa fragilità digitale proviene da il blog della sicurezza informatica.