L'incidente di hacking globale si trasforma in una campagna di attacco
In una recente sviluppo, Microsoft ha rilasciato aggiornamenti di sicurezza urgenti per due vulnerabilità zero-day, CVE-2025-53770 e CVE-2025-53771, che interessano i server SharePoint in tutto il mondo. Queste vulnerabilità sono state sfruttate in attacchi "ToolShell", con gli attacchi ricollegati a una campagna sostenuta che coinvolge avversari statali e gruppi di ransomware, come documentato da ricercatori e organizzazioni di sicurezza come l'Establishment delle Comunicazioni di Sicurezza del Canada e Shadowserver.
Gli attacchi, rilevati per la prima volta a inizio luglio 2025, hanno interessato più di 54 organizzazioni a livello globale. Le vulnerabilità sono state scoperte inizialmente durante il contest di hacking Pwn2Own nel mese di maggio.
Microsoft consiglia agli amministratori di SharePoint di ruotare le loro chiavi macchina dopo aver installato gli aggiornamenti di sicurezza. Questo processo può essere avviato tramite PowerShell utilizzando il cmdlet o manualmente tramite l'Amministrazione Centrale.
Gli amministratori dovrebbero esaminare i log IIS per le richieste POST dirette a con un HTTP referer di . Un tale indicatore è la creazione del file .
Microsoft ha rilasciato aggiornamenti specifici che mirano a Microsoft SharePoint Subscription Edition e SharePoint 2019, offrendo correzioni per entrambe le CVE-2025-53770 e CVE-2025-53771. Per SharePoint Server 2019, l'aggiornamento consigliato è KB5002754. Per SharePoint Subscription Edition, gli amministratori dovrebbero installare KB5002768. L'aggiornamento per SharePoint Enterprise Server 2016 non è stato rilasciato al momento.
Gli aggiornamenti del Patch Tuesday di luglio hanno risolto le vulnerabilità iniziali, ma i criminali informatici hanno trovato nuove vulnerabilità che hanno bypassato le protezioni. Tuttavia, gli aggiornamenti per CVE-2025-53770 e CVE-2025-53771 offrono "protezioni più robuste" rispetto agli aggiornamenti per CVE-2025-49704 e CVE-2025-49706 rispettivamente.
Microsoft ha anche fornito una query Microsoft 365 Defender per rilevare la creazione del file. Gli amministratori sono invitati ad analizzare i log e i sistemi di file per eventuali indicatori di file dannosi o tentativi di sfruttamento.
Dopo il processo di rotazione della chiave macchina, IIS deve essere riavviato su tutti i server SharePoint utilizzando . Gli amministratori dovrebbero anche assicurarsi di avere gli ultimi aggiornamenti installati e monitorare regolarmente i loro sistemi per eventuali attività sospette.
In conclusione, è fondamentale che gli amministratori di SharePoint installino tempestivamente gli aggiornamenti di sicurezza
