L’attacco cyber a Microsoft e la multidimensionalità della guerra ibrida
Nei giorni tra il 17 ed il 19 di Luglio, vi è stato il culmine di un attacco cibernetico su vasta scala, avviato occultamente già nelle settimane precedenti, contro Microsoft. L’operazione, denominata Tool Shell, ha compromesso tramite il sistema SharePoint di Microsoft più di 400 entità, pubbliche e private, tra le quali grandi aziende operanti in settori eterogenei e talvolta sensibili. Nello specifico, sono state colpite anche agenzie governative statunitensi come la National Nuclear Security Administration (NNSA), lo US Department of Education ed il National Institute of Health (NIH).
La penetrazione all’interno dei sistemi informatici è avvenuta dapprima mediante lo sfruttamento di un primo codice vulnerabile, il Common Vulnerabilities and Exposures (CVE) 2025-49704, utilizzato come porta di accesso. Successivamente, l’attacco si è diramato con il codice CVE-2025-49706, operante all’interno dei sistemi di SharePoint on-premise presenti nei server aziendali e dai quali accede, tramite client locali, il personale impiegato. È importante evidenziare come il sistema SharePoint si integri sincronicamente con altre applicazioni Microsoft 365 come Teams, OneDrive e Outlook, consentendo un flusso di condivisione di documenti e file sensibili, permettendo dunque agli attaccanti l’accesso alle comunicazioni in tempo reale ai canali di trasmissione colpiti. L’individuazione da parte di Microsoft dei responsabili delle violazioni, attribuite dall’azienda statunitense ai gruppi cinesi Linen Typhoon, Violet Typhoon e Storm 2603, ha condotto al rilascio di patch riparatorie volte a colmare le falle sistemiche dei CVE menzionati.
Queste vulnerabilità permettevano agli hackers di creare un file contenente tag ed oggetti noti a SharePoint, mediante spoofing di formato, ossia la creazione di file eXtensible Markup Language (XML) manomessi e apparentemente veritieri, in grado di eludere i controlli del validatore e compromettere il sistema di autenticazione. La fase successiva ha previsto poi l’intervento da remoto sul server da parte dei conduttori dell’operazione, attraverso il Remote Code Execution (RCE), al fine di poter installare malware, rubare o distruggere dati, o usare il server stesso per penetrare capillarmente l’intera infrastruttura digitale. Il cyberattacco non si configura come un’incursione dannosa strettamente ai danni dei server di Microsoft, bensì rientra in una più ampia e frequente ricorrenza al bersagliamento informatico di reti ed infrastrutture appartenenti ai grandi provider, abilitanti alla conduzione di attacchi simultanei e massivi. Lo scenario attuale riprende dinamiche già osservate, come avvenuto per Proxy Logon nel 2021, dove gruppi Advanced Persistent Threat (APT) sfruttarono falle in Microsoft Exchange per accedere a decine di migliaia di server aziendali. Casi speculari sono rappresentati anche da Kaseya VSA, avvenuto nello stesso anno, dove una singola vulnerabilità fu usata per diffondere ransomware a oltre 1.500 aziende, e da MOVEit Transfer, condotto nel 2023, il quale permise ai responsabili della violazione di esfiltrare dati da centinaia di enti pubblici e privati.
Tool Shell si inserisce in questa tipologia di strategia, ovvero quella di colpire un assetto nevralgico, che a sua volta consente un’infiltrazione a cascata e multilivello, in grado di massimizzare l’impatto del danno arrecato e di limitare l’efficacia delle contromisure, per quanto tempestive e localizzate. Questo approccio, inoltre, permette di continuare a generare effetti per periodi di tempo prolungati, sia disarticolando la sicurezza dell’apparato digitale, sia influendo sull’ambiente informativo, incrementando la percezione di minaccia ed insicurezza. Nel delineato segmento, pertanto, la crescente proliferazione di queste operazioni, si colloca in un ampio spettro di hybrid warfare sempre più complesso e diversificato.