Microsoft ha confermato l’esistenza di una vulnerabilità critica che riguarda le versioni on-premise di SharePoint Server, sfruttata attivamente da attori malevoli per eseguire codice da remoto sui sistemi target. La falla, identificata come CVE-2025-53770, è stata scoperta all’interno di un componente accessibile anche senza autenticazione ed è stata associata a una serie di attacchi definiti “ToolShell” dal team di ricerca di Wiz che per primi hanno documentato la catena di exploit.
Il problema nasce dalla combinazione di due vulnerabilità: un bypass dell’autenticazione (CVE-2025-53771) che consente di accedere a un endpoint riservato e un successivo abuso del meccanismo di deserializzazione di .NET, che apre la strada all’esecuzione di codice arbitrario.
Gli attaccanti, sfruttando questa catena, sono riusciti a installare una web shell ASPX rinominata in modo da sembrare legittima (“spinstall0.aspx”), attraverso cui hanno poi eseguito comandi da remoto sul server compromesso. Uno degli aspetti più critici dell’attacco è la possibilità di sottrarre le chiavi di firma utilizzate da SharePoint che consentono all’attaccante di firmare payload malevoli ed eludere anche eventuali patch successive.
Le attività malevole sono state rilevate in centinaia di tentativi di compromissione in tutto il mondo e secondo i ricercatori si tratta di una campagna ben organizzata che prende di mira organizzazioni pubbliche e private con particolare interesse per settori strategici come sanità, pubblica amministrazione ed energia.
Microsoft rilascia le patch, ma i rischi restano
Microsoft ha rilasciato aggiornamenti di sicurezza e consiglia di disconnettere i server non aggiornati da Internet in attesa che i processi di aggiornamento siano terminati. Suggerisce, inoltre, di abilitare la scansione dei contenuti tramite AMSI (Antimalware Scan Interface) e utilizzare Microsoft Defender Antivirus come ulteriore livello di protezione. Inoltre, per mitigare il rischio residuo, è consigliato ruotare le chiavi ASP.NET, riavviare il server IIS e monitorare attentamente eventuali accessi sospetti agli endpoint coinvolti, come /_layouts/15/ToolPane.aspx. È importante sottolineare che se l'attacco è già avvenuto, la semplice applicazione delle patch non è sufficiente a ripulire i server colpiti. Bisogna agire in maniera completa e approfondita.
Secondo Microsoft e i ricercatori coinvolti, il successo degli attacchi si deve in buona parte alla configurazione standard di molti server SharePoint on-premise, spesso lasciati esposti senza i controlli di sicurezza necessari. L’urgenza della situazione è amplificata dalla natura zero-day della falla e dalla capacità degli attaccanti di ottenere una persistenza duratura, anche dopo l’applicazione delle patch, nel caso in cui le chiavi compromesse non vengano invalidate.
Le aziende che utilizzano SharePoint on-premise devono quindi agire con rapidità per verificare lo stato dei propri sistemi, applicare gli aggiornamenti di sicurezza, e rivedere le politiche di accesso e logging. In un contesto in cui i sistemi collaborativi sono sempre più centrali nei processi aziendali, una compromissione di questo tipo può avere impatti devastanti su dati, continuità operativa e compliance.