Il Global Research and Analysis Team (GReAT) di Kaspersky ha rivelato che le vulnerabilità ToolShell, recentemente sfruttate contro Microsoft SharePoint, derivano da una correzione incompleta risalente al 2020. Si tratta di un problema collegato alla CVE-2020-1147, una falla già nota cinque anni fa e che oggi riaffiora come una delle principali minacce alla cybersicurezza.
Un problema mai risolto del tutto
Secondo Kaspersky, le vulnerabilità di SharePoint sono state sfruttate in attacchi attivi su scala globale, con bersagli che includono Egitto, Giordania, Russia, Vietnam e Zambia. Gli attacchi, mirati a settori governativi, finanziari, manifatturieri, agricoli e forestali, sono stati intercettati e bloccati proattivamente dalle soluzioni Kaspersky prima che le vulnerabilità fossero rese pubbliche.
L’analisi dell’exploit ToolShell ha mostrato una sorprendente somiglianza con la falla CVE-2020-1147, suggerendo che la patch rilasciata a luglio 2025, identificata come CVE-2025-53770, sia in realtà la vera soluzione al problema che il fix del 2020 aveva solo parzialmente affrontato.
Patch incomplete e rischio di bypass
Il legame con la falla del 2020 è emerso dopo la scoperta di CVE-2025-49704 e CVE-2025-49706, due vulnerabilità corrette l’8 luglio 2025. Tuttavia, queste prime correzioni potevano essere aggirate facilmente, semplicemente aggiungendo una barra al payload dell’exploit. Solo dopo l’individuazione di attacchi attivi Microsoft ha distribuito patch più solide, classificate come CVE-2025-53770 e CVE-2025-53771, risolvendo i possibili bypass.
Il picco di attacchi verso server SharePoint si è registrato proprio nel breve intervallo tra i primi exploit pubblici e la distribuzione definitiva delle patch.
Attacchi destinati a proseguire
Nonostante le vulnerabilità ToolShell siano ora patchate, gli esperti di Kaspersky avvertono che il rischio non è ancora del tutto mitigato. Boris Larin, Principal Security Researcher del GReAT, ha dichiarato:
“Molte vulnerabilità note continuano a essere sfruttate anche anni dopo la loro scoperta. È il caso di ProxyLogon, PrintNightmare ed EternalBlue, che ancora oggi compromettono sistemi non aggiornati. Prevediamo che ToolShell seguirà lo stesso percorso: la sua semplicità di sfruttamento ne garantirà la permanenza negli strumenti di penetration testing e negli arsenali degli hacker.”
Il report completo è disponibile su Securelist.com.
Raccomandazioni di Kaspersky
Per ridurre il rischio di attacco, Kaspersky consiglia alle aziende che utilizzano Microsoft SharePoint di installare immediatamente le patch di sicurezza più recenti, senza attendere, poiché anche una breve finestra di esposizione può risultare fatale. Inoltre, raccomanda di adottare soluzioni di sicurezza proattive contro gli attacchi zero-day, come Kaspersky Next, che grazie al modulo Behavior Detection è in grado di bloccare exploit sconosciuti prima che vengano corretti ufficialmente.
