Una vulnerabilità critica senza precedenti
Nelle ultime ore Microsoft ha confermato un attacco su larga scala contro i server SharePoint on-premises, causato dalla vulnerabilità CVE-2025-53770. Il problema non riguarda SharePoint Online su Microsoft 365, ma colpisce le versioni 2016, 2019 e Subscription Edition. L’exploit sfrutta una falla di deserializzazione, consentendo l’esecuzione remota di codice (RCE) senza autenticazione, con un punteggio CVSS 9.8. Diverse aziende e agenzie governative di Stati Uniti, Europa, Canada e Asia hanno già segnalato server compromessi, con furto di documenti sensibili e possibili manipolazioni interne.
Il ruolo di ToolShell e delle MachineKeys
Gli aggressori hanno utilizzato un framework denominato ToolShell per caricare file ASPX malevoli, come spinstall0.aspx, con l’obiettivo di sottrarre le MachineKeys. Queste chiavi, usate per validare e decrittare il campo __VIEWSTATE di ASP.NET, permettono agli attaccanti di firmare payload dannosi come se fossero legittimi, mantenendo il controllo anche dopo l’applicazione delle patch. Benjamin Harris, CTO di WatchTowr, ha sottolineato che la rotazione di queste chiavi è l’unico modo per prevenire la persistenza dell’attacco.
Indicatori di compromissione e impatto globale
Secondo i report di CISA e FBI, sono stati individuati indicatori di compromissione, come richieste anomale verso /_layouts/15/ToolPane.aspx?DisplayMode=Edit e connessioni provenienti da IP associati a campagne malevole, tra cui 107.191.58.76 e 96.9.125.147. Gli esperti di Palo Alto Unit 42 hanno confermato che i tentativi di attacco hanno già coinvolto migliaia di server in tutto il mondo e, in alcuni casi, hanno portato alla cancellazione dei contenuti interni attraverso attacchi wiper.
Le contromisure di Microsoft e delle agenzie di sicurezza
Microsoft ha rilasciato aggiornamenti per SharePoint 2019 e Subscription Edition, mentre la patch per la versione 2016 è ancora in fase di test. Quando non è possibile aggiornare, gli esperti raccomandano di disconnettere i server vulnerabili da Internet. L’attivazione di AMSI, Microsoft Defender Antivirus e Defender for Endpoint è considerata una misura urgente. Tuttavia, la sola applicazione delle patch non è sufficiente: occorre anche la rotazione delle MachineKeys già compromesse per impedire nuovi accessi non autorizzati.
Rischi di movimento laterale e consigli pratici
Il rischio è amplificato dal fatto che SharePoint funge da hub centrale per file, dati e configurazioni aziendali. Un server compromesso può aprire la strada a spostamenti laterali verso Outlook, Teams e OneDrive, sfruttando la condivisione delle credenziali e delle sessioni di Windows. Le agenzie governative, tra cui CISA e il Cyber Centre canadese, hanno diffuso alert ufficiali per invitare le organizzazioni a rafforzare i log di monitoraggio, aggiornare le regole WAF e IPS e avviare attività di threat hunting.
Opinioni degli esperti
Adam Meyers di CrowdStrike ha descritto questa vulnerabilità come una delle più significative degli ultimi anni, mettendo in guardia sul rischio di impersonificazione degli utenti. In uno scenario in cui molte infrastrutture critiche utilizzano ancora installazioni on-premises, la rapidità nella risposta è decisiva per evitare danni su larga scala.
Fonti autorevoli e link utili
Microsoft ha pubblicato linee guida tecniche per la gestione dell’incidente, mentre la CISA ha diffuso un alert con dettagli sugli indicatori di compromissione. Approfondimenti tecnici e aggiornamenti costanti sono disponibili su The Hacker News, Washington Post e Reuters.
