I server Microsoft SharePoint on-premises sono sotto attacco a causa della vulnerabilità critica ToolShell (CVE-2025-53770 e CVE-2025-53771), sfruttata attivamente da hacker, inclusi gruppi legati alla Cina.

Ecco le implicazioni geopolitiche e il moltiplicarsi degli attori malintenzionati.

SharePoint: gruppi legati alla Cina che sfruttano la falla ToolShell

Microsoft ha rilasciato le patch di emergenza e raccomanda di applicarle immediatamente, di ruotare le chiavi ASP.NET e di rafforzare le difese con soluzioni antimalware.

La situazione è grave, con molteplici enti già compromessi, rendendo urgente l’intervento per prevenire ulteriori violazioni.

L’allarme è rosso per le organizzazioni di tutto il mondo. I server Microsoft SharePoint on-premises sono al centro di un’ondata di sofisticati attacchi informatici, scatenati dallo sfruttamento attivo di una vulnerabilità critica soprannominata ToolShell.

Questa minaccia, sempre più pressante, ha spinto le principali autorità di cyber sicurezza, tra cui Microsoft e la CISA, a lanciare avvertimenti urgenti e a fornire indicazioni cruciali per la mitigazione.

La situazione è grave, con numerosi sistemi già compromessi, rendendo la protezione delle infrastrutture SharePoint interne una priorità assoluta.

ToolShell: falla critica sotto sfruttamento massiccio

Al centro di questa ondata di attacchi si trova la vulnerabilità CVE-2025-53770, un grave difetto di deserializzazione di dati non affidabili. In termini più semplici, ciò significa che il software SharePoint non gestisce correttamente i dati che riceve da fonti esterne, consentendo a un aggressore di inserire codice dannoso che il server interpreta ed esegue.

Questa falla non è una novità assoluta, ma una pericolosa variante della precedente CVE-2025-49706.

Ciò che rende questi attacchi particolarmente efficaci è la loro combinazione con la CVE-2025-53771, una vulnerabilità di spoofing. Con la spoofing, l’aggressore può mascherare la propria identità, ingannando il sistema affinché accetti i dati dannosi.

La combinazione di queste due vulnerabilità permette agli hacker di ottenere l’esecuzione di codice remoto (RCE) sui server vulnerabili, garantendo loro il pieno controllo sui contenuti di SharePoint, inclusi i file system e le configurazioni interne.

Patch urgenti

Domenica Microsoft ha rilasciato aggiornamenti di sicurezza per CVE-2025-53770 e la falla correlata, CVE-2025-53771, invitando i clienti ad applicare immediatamente le patch.

La Cybersecurity and Infrastructure Security Agency (CISA) è stata apidamente allertata di questo sfruttamento da un partner di fiducia e ha immediatamente collaborato con Microsoft per affrontare la minaccia.

Chris Butera, direttore esecutivo assistente ad interim per la cyber security della CISA, ha sottolineato l’importanza di questa cooperazione, evidenziando la velocità della risposta e l’impegno a notificare le entità potenzialmente interessate.

L’impatto degli attacchi: il panorama globale

I ricercatori di Eye Security, tra i primi a divulgare la scoperta di questa vulnerabilità, stimano che decine di sistemi vulnerabili siano già stati compromessi in almeno due ondate di attacchi.

Le analisi di WatchTowr suggeriscono che lo sfruttamento potrebbe essere iniziato addirittura a metà luglio.
La portata degli attacchi è allarmante e trasversale a diversi settori critici:

• almeno due agenzie federali statunitensi sono state colpite;
• diverse agenzie governative europee hanno subito violazioni;
• un’importante compagnia energetica statunitense è stata compromessa;
• il Multi-State Information Sharing and Analysis Center ha notificato oltre 150 agenzie governative statali e locali attivamente mirate, inclusi distretti scolastici K-12 e università, con oltre 1.100 server vulnerabili identificati.

Il Threat Intelligence Group di Google ha confermato di aver osservato hacker che installano web shell e rubano segreti crittografici dai server delle vittime, un segnale inequivocabile della gravità delle violazioni e del potenziale per accessi futuri e duraturi.

Implicazioni geopolitiche, si moltiplicano gli attori malevoli

Le indagini sulle intrusioni più recenti hanno evidenziato che dietro almeno alcuni degli attacchi iniziali si celano hacker legati al governo cinese. Charles Carmakal, CTO di Mandiant Consulting (una divisione di Google Cloud), ha dichiarato inequivocabilmente: “Riteniamo che almeno uno degli attori responsabili di questo sfruttamento precoce sia un attore di minacce connesso alla Cina“.

Questa valutazione è supportata da ulteriori prove, con investigatori federali che hanno riscontrato connessioni da server SharePoint compromessi negli Usa verso indirizzi IP in Cina già venerdì e sabato scorsi.

L’interesse di attori statali, in particolare quelli legati al governo cinese, spesso riguarda lo spionaggio industriale, il furto di proprietà intellettuale e la raccolta di informazioni governative sensibili.

Chi sfrutta l’exploit

Nonostante l’attenzione iniziale sui gruppi legati a stati-nazione, è cruciale comprendere che molteplici attori stanno ora attivamente sfruttando questa vulnerabilità. Carmakal ha avvertito che questa tendenza è destinata a continuare, con vari altri attori di minacce, mossi da diverse motivazioni, che cercheranno di sfruttare l’exploit.

Tra questi, si ipotizza la presenza di attori a scopo di lucro, interessati a rubare segreti aziendali o a distribuire ransomware.

I precedenti cinesi

La strategia di attacco di ToolShell mostra somiglianze con precedenti compromissioni attribuite ad hacker cinesi.

Piet Kerkhofs, CTO e co-fondatore di Eye Security, ha notato caratteristiche comuni con vulnerabilità sfruttate in passato, come quella di NetScaler di Citrix, dove la trasformazione di una nuova vulnerabilità in un “exploit” avveniva con una rapidità estrema, “da ore a giorni”.

Un altro esempio significativo è la massiva compromissione dei server Microsoft Exchange nel 2021, attribuita a un gruppo sponsorizzato dal governo cinese che Microsoft identifica come Silk Typhoon, noto per la sua avanzata capacità tecnica e per aver colpito obiettivi sensibili in occidente a un ritmo crescente nell’ultimo anno.

Questi attacchi hanno permesso agli hacker di estrarre chiavi crittografiche dai server dei clienti Microsoft, consentendo loro di installare backdoor persistenti per futuri accessi non autorizzati.

A inizio luglio, a Milano è stato arrestato Xu Zewei, 33enne cinese, da molti anni ricercato dal governo statunitense per cyber spionaggio su vasta scala, sia su vaccini che sui dati sensibili pro Pechino.

Risposta urgente: patch, rotazione delle chiavi e strategie di difesa

Di fronte alla minaccia incombente, Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza per CVE-2025-53770 e CVE-2025-53771, sollecitando i clienti ad applicarli immediatamente.

Queste patch sono disponibili per SharePoint Server Subscription Edition e SharePoint Server 2019. È fondamentale notare che le patch per Microsoft SharePoint Server 2016 sono ancora in fase di sviluppo, lasciando temporaneamente questa versione più esposta. Analogo avvertimento è stato rilasciato da Charles Carmakal.

Un aspetto cruciale evidenziato da Microsoft, e ribadito dagli esperti di sicurezza, è la necessità di ruotare le chiavi macchina ASP.NET, oltre ad applicare le patch.

Come ha avvertito Nick Hyatt, analista senior di threat intelligence presso GuidePoint Security, “se non si ruotano quelle chiavi, anche dopo aver patchato il server, l’attaccante mantiene comunque l’accesso”. Questo passaggio aggiuntivo è vitale per chiudere completamente la porta ai malintenzionati che potrebbero aver già rubato queste chiavi.

È importante sottolineare che SharePoint Online in Microsoft 365 non è interessato da queste vulnerabilità che, secondo Microsoft, colpiscono esclusivamente le implementazioni di SharePoint on-premises.

Consigli per risposta agli incidenti e resilienza cibernetica

Oltre all’applicazione immediata delle patch e alla rotazione delle chiavi, le organizzazioni dovrebbero adottare misure proattive e reattive per rafforzare la propria difesa:

• implementare Microsoft Defender for Endpoint (o soluzioni equivalenti). Il deployment di Defender for Endpoint è caldamente consigliato per rilevare e bloccare le attività post-exploit;
• assicurare la corretta configurazione di AMSI. Verificare che l’Antimalware Scan Interface (AMSI) sia attiva e configurata correttamente. L’integrazione di AMSI in SharePoint, abilitata di default negli aggiornamenti di sicurezza di settembre 2023 per SharePoint Server 2016/2019 e nell’aggiornamento delle funzionalità della versione 23H2 per SharePoint Server Subscription Edition, è cruciale. Se è disponibile, abilitare la modalità completa per la scansione del corpo della richiesta HTTP, che offre la protezione più completa. L’uso di un antivirus appropriato, come Defender Antivirus su tutti i server SharePoint, può bloccare gli aggressori non autenticati che tentano di sfruttare questa vulnerabilità. Se AMSI non può essere abilitato, è consigliabile disconnettere il server da Internet finché non si applica l’aggiornamento di sicurezza. Se la disconnessione non è possibile, considerare l’uso di una VPN o un proxy che richieda autenticazione;
• rilevamento e protezione con Microsoft Defender: Microsoft Defender Antivirus e Microsoft Defender for Endpoint forniscono rilevamenti specifici per questa minaccia. È inoltre possibile sfruttare Microsoft Defender Vulnerability Management (MDVM) e l’Advanced Hunting nel Microsoft 365 Defender per identificare i dispositivi esposti e cercare attività di sfruttamento;
• segmentazione della rete e principio del minimo privilegio. Implementare una robusta segmentazione della rete può limitare la diffusione di un attacco anche se un server viene compromesso. Assegnare agli utenti e ai sistemi solo i permessi minimi necessari per svolgere le loro funzioni (principio del minimo privilegio) riduce ulteriormente la superficie di attacco;
• piani di risposta agli incidenti. Le organizzazioni dovrebbero avere un piano di risposta agli incidenti ben definito. In caso di sospetta compromissione, questo dovrebbe includere l’isolamento immediato dei sistemi colpiti, l’esecuzione di analisi forensi per determinare l’estensione del danno e la notifica alle autorità competenti.

Quasi “il peggior scenario”: agire è imperativo

Ryan Dewhurst, responsabile della proactive threat intelligence presso WatchTowr, ha descritto la situazione come un “impatto diffuso su centinaia di organizzazioni, incluse quelle che molti considererebbero ‘incredibilmente sensibili'”.

Le sue parole sono forti: “È quasi certamente accettabile definire questo uno scenario vicino al peggiore“. Le ragioni sono chiare: gli hacker possono estrarre chiavi crittografiche, il che a sua volta consente loro di installare backdoor persistenti per accessi futuri.

Gli attacchi sono stati maggiormente concentrati negli Usa, in Germania, Francia e Australia, indicando una diffusione geografica significativa. La rapidità con cui le entità di cyber sicurezza sono intervenute e la chiarezza delle indicazioni di mitigazione sottolineano l’urgenza per tutte le organizzazioni che utilizzano server SharePoint on-premises di agire senza indugio.

La collaborazione tra giganti tecnologici come Microsoft, agenzie governative come la CISA, e ricercatori di sicurezza privati (come Eye Security, WatchTowr e Mandiant) è fondamentale per affrontare minacce complesse come ToolShell.

In un panorama di minacce in continua evoluzione, dove le vulnerabilità “zero-day” sono una costante, un approccio proattivo e una resilienza cibernetica continua sono l’unica difesa efficace.

La domanda chiave che ogni organizzazione dovrebbe porsi ora è: avete già preso provvedimenti per valutare il vostro ambiente SharePoint on-premises per questa minaccia e avete applicato le patch e le rotazioni delle chiavi necessarie? Non c’è tempo da perdere.