Vulnerabilità di SharePoint derivano da una correzione incompleta
Nonostante siano ora disponibili patch per le vulnerabilità ToolShell, Kaspersky prevede che i cybercriminali continueranno a sfruttare questa vulnerabilità in futuro.
Le principali minacce legate alla cybersicurezza sono state riscontrate quest’anno, evidenziando delle vulnerabilità che in realtà erano latenti già da anni.
Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto che le vulnerabilità ToolShell recentemente sfruttate in Microsoft SharePoint derivano da una correzione incompleta di CVE-2020-1147. Segnalata per la prima volta nel 2020.
Le vulnerabilità di SharePoint sono emerse quest’anno come una delle principali minacce alla cybersicurezza, grazie a uno sfruttamento attivo. Kaspersky Security Network ha rilevato tentativi di exploit in diverse regioni a livello globale, tra cui Egitto, Giordania, Russia, Vietnam e Zambia. Gli attacchi hanno come obiettivo le aziende dei settori governativo, finanziario, manifatturiero, agricolo e forestale. Le soluzioni Kaspersky hanno rilevato e bloccato in modo proattivo gli attacchi ToolShell prima che le vulnerabilità fossero rese pubbliche.
La vulnerabilità di SharePoint
I ricercatori di Kaspersky GReAT hanno analizzato l’exploit ToolShell pubblico, riscontrando una preoccupante somiglianza con l’exploit CVE-2020-1147 del 2020. Questa scoperta fa ipotizzare che la patch CVE-2025-53770 sia, di fatto, una soluzione efficace per la vulnerabilità che CVE-2020-1147 ha tentato di risolvere cinque anni fa.
Il collegamento con CVE-2020-1147 è diventato chiaro in seguito alla scoperta di CVE-2025-49704 e CVE-2025-49706, che sono state corrette l’8 luglio. Tuttavia, queste correzioni potrebbero essere aggirate aggiungendo una semplice barra al payload dell’exploit. Quando Microsoft ha scoperto che queste vulnerabilità venivano sfruttate, ha risposto con patch complete che risolvono i potenziali metodi di bypass. Assegnando alle vulnerabilità i codici CVE-2025-53770 e CVE-2025-53771. L’aumento degli attacchi contro i server SharePoint in tutto il mondo si è verificato nel periodo di tempo tra lo sfruttamento iniziale e la distribuzione completa delle patch.
Nonostante siano ora disponibili patch per le vulnerabilità ToolShell, Kaspersky prevede che i cybercriminali continueranno a sfruttare questa vulnerabilità in futuro.
