Attualmente una vulnerabilità zero-day di Microsoft SharePoint relativa all’esecuzione di codice remoto (RCE), identificata come CVE-2025-53770 e denominata ToolShell, è oggetto di sfruttamento attivo. La vulnerabilità colpisce i server Microsoft SharePoint on-premise, consentendo agli aggressori non autenticati di avere accesso completo ed eseguire codice arbitrario da remoto. Nonostante le indicazioni di Microsoft e un avviso della CISA, non è ancora disponibile una patch di sicurezza completa.
Governo, software, telecomunicazioni i settori nel mirino
Check Point Research ha identificato i primi tentativi di sfruttamento il 7 luglio, come obiettivo dell’attacco un importante governo occidentale. Gli attacchi si sono intensificati solo il 18 e il 19 luglio, utilizzando infrastrutture collegate agli indirizzi IP 104.238.159.149; 107.191.58.76; 96.9.125.147. Uno di questi IP era anche associato a tentativi di sfruttamento contro una catena di vulnerabilità Ivanti EPMM correlata (CVE-2025-4427 e CVE-2025-4428). Il vettore di attacco coinvolge una webshell personalizzata che analizza i parametri dai payload VIEWSTATE, consentendo attacchi di deserializzazione non sicuri. I settori presi di mira includono governo, software, telecomunicazioni.
Vulnerabilità zero-day: cosa rappresenta per i responsabili sicurezza e le aziende?
Questa campagna rafforza la necessità critica di monitorare e difendere le infrastrutture legacy e on-premise. Gli autori delle minacce stanno rapidamente sfruttando le vulnerabilità non corrette di SharePoint e concatenando exploit come CVE-2025-53770 con difetti più vecchi come CVE-2025-49706. Il tutto per ottenere l’accesso iniziale e aumentare i privilegi. Questo è l’ennesimo caso di sfruttamento zero-day di SharePoint utilizzato in attacchi mirati contro settori che gestiscono dati sensibili e sistemi critici.
Alcuni suggerimenti
Tra le raccomandazioni per ridurre il rischio derivante da CVE-2025-53770 e dalle minacce correlate:
assicurarsi che l’interfaccia di scansione anti-malware sia abilitata;
fare una rotazione delle chiavi macchina ASP.NET di SharePoint Server;
distribuire Harmony Endpoint per bloccare le attività post-exploit sul server;
se applicabile, limitare l’accesso a SharePoint Server da Internet con strumenti di accesso privato;
aggiornare il pacchetto IPS Quantum Gateway 635254838 e assicurarsi che la protezione sia impostata su “Previeni” e ispezionare il traffico dei server SharePoint.
