Un attacco zero‑day su vasta scala
Microsoft ha confermato che sta avvenendo un attacco su larga scala ai server SharePoint on‑premise, sfruttando una vulnerabilità zero‑day denominata ToolShell (CVE‑2025‑53770), derivante da una catena di exploit legata a CVE‑2025‑49706 .
Secondo i ricercatori di Eye Security, il vettore è attivo da almeno il 18 luglio 2025, con decine di server compromessi e una diffusione globale che include oltre 8.000 sistemi vulnerabili potenzialmente compromessi .
Chi è colpito e perché è grave
Sono stati coinvolti governi, università, aziende energetiche, istituti sanitari, banche e provider di telecomunicazioniin diversi continenti. Secondo analisi di Palo Alto Networks, i criminali informatici hanno sottratto chiavi crittografiche (MachineKey), permettendo accessi non autorizzati persistenti anche dopo il riavvio o l’applicazione di patch.
La falla consente un esecuzione remota di codice senza autenticazione, accesso ai sistemi file di SharePoint e potenzialmente anche un coinvolgimento verso Outlook, Teams e OneDrive.
Versioni coinvolte e stato delle patch
Gli aggiornamenti di emergenza sono già disponibili per SharePoint Server 2019 e Subscription Edition, mentre il “fix” per SharePoint Server 2016 è ancora in fase di sviluppo.
Da notare che le versioni cloud (SharePoint Online) di Microsoft 365 non sono vulnerabili .
Raccomandazioni e contromisure urgenti (alcuni consigli di un esperto che abbiamo contattato)
Le principali agenzie di sicurezza nazionale, tra cui CISA (USA), invitano a:
- Applicare immediatamente i patch ufficiali.
- Disconnettere i server vulnerabili da Internet fino all’aggiornamento completo.
- Abilitare AMSI integration e installare Microsoft Defender Antivirus e Defender for Endpoint .
- Ruotare tutte le credenziali crittografiche compromesse.
- Eseguire attività di threat hunting, scansione di indicatori di compromissione (IoC) e disinstallazione di web shell o payload malevoli .
Analisi dell’operatività dell’attacco
Gli esperti di Sophos ritengono che dietro la campagna ci sia un solitario attore malintenzionato, visto il modus operandi uniforme tra i sistemi colpiti . L’FBI e il NCSC del Regno Unito starebbero coordinando attività investigative.
Impatto nel contesto storico
Questo attacco richiama analogie con altre gravi intrusioni precedenti su piattaforme Microsoft, come il celebre cyberattacco del 2021 a Exchange Server che colpì centinaia di migliaia di server.
Poco dopo, attacchi simili sulla SharePoint del 2019 mostrarono quanto le vulnerabilità non aggiornate possano compromettere persino le Nazioni Unite.
Non perdere gli ultimi aggiornamenti su cronaca, eventi e politica in Liguria! Iscriviti sui canali di Liguria Notizie di Telegram, Facebook, Twitter e YouTube
