Microsoft avverte che gli hacker sfruttano attivamente i clienti SharePoint locali
Microsoft ha emesso un appello urgente all'azione per i clienti SharePoint Server on-premises, avvertendo di due vulnerabilità critiche attualmente sfruttate in una campagna ad alto impatto in corso.
Le vulnerabilità, identificate come CVE-2025-53770 e CVE-2025-53771, rappresentano un rischio significativo, con CVE-2025-53770 che ottiene un punteggio critico di 9.8 nel sistema di valutazione della vulnerabilità comune (CVSS). Questa vulnerabilità consente l'esecuzione del codice non autorizzato in rete, un potenziale pericoloso per gli attaccanti. CVE-2025-53771, d'altra parte, è una vulnerabilità importante con un punteggio CVSS di 6.3, che consente il spoofing in rete per un attaccante autorizzato.
Gli attaccanti stanno attivamente sfruttando queste vulnerabilità di SharePoint, estraendo i dati sensibili, installando porte posteriori persistenti e rubando le chiavi crittografiche nei sistemi compromessi. Con queste chiavi in mano, possono creare payload falsi che SharePoint accetterà come validi, consentendo l'esecuzione del codice remoto senza soluzione di continuità.
La società olandese di sicurezza Eye Security ha identificato lo sfruttamento di queste vulnerabilità nel mondo reale il 18 luglio, con dozzine di sistemi attivamente compromessi durante due ondate il 18 luglio alle circa 18:00 UTC e il 19 luglio alle circa 07:30 UTC. Gli attori minacciosi hanno anche installato web shell e esfiltrato segreti crittografici dai server delle vittime.
Microsoft ha rilasciato una patch fuori ciclo di emergenza per le versioni interessate di SharePoint 2016 il 19 luglio 2025 per mitigare i rischi causati da queste vulnerabilità. Tuttavia, non sono ancora disponibili patch per le versioni supportate di SharePoint 2016. Microsoft si aspetta di rilasciare una patch fuori ciclo di emergenza a causa dello sfruttamento diffuso attualmente in corso.
Le organizzazioni che hanno già applicato una patch dovrebbero indagare se il loro sistema è stato compromesso prima della correzione. È importante notare che queste vulnerabilità interessano solo i deployments on-premises di SharePoint e SharePoint Online in ambienti Microsoft 365 rimane inaffettato.
La campagna colpisce i settori critici come il governo e la sanità, con Michael Sikorski, CTO e responsabile dell'intelligence minacciosa del team Unit 42 di Palo Alto Network, che avverte che i sistemi critici in questi settori, nonché le scuole e le grandi aziende, sono a rischio immediato di compromissione a causa del bypass dei controlli di identità, compresa l'autenticazione a più fattori (MFA) e l'accesso singolo (SSO), per ottenere l'accesso privilegiato.
L'integrazione profonda di SharePoint con altri servizi Microsoft come Office, Teams, OneDrive e Outlook rende un compromesso potenzialmente redditizio per gli attaccanti, poiché questi servizi contengono informazioni preziose. Questo approccio rende la rimozione particolarmente difficile, poiché una patch tipica non rotolerà automaticamente questi segreti crittografici rubati, lasciando le organizzazioni vulnerabili anche dopo aver applicato la patch.
Le azioni immediate oltre all'applicazione delle patch includono la rotazione del materiale crittografico, l'impegno di una risposta agli incidenti professionale e la configurazione dell'integrazione del whitelisting delle applicazioni (AMSI) in SharePoint. coloro che hanno server SharePoint on-premises esposti a Internet dovrebbero presumere il compromesso.
Date le minacce, è fondamentale che i clienti del server SharePoint on-premises prendano immediate misure per mitigare questi rischi e proteggere i loro dati e sistemi sensibili.
Leggi anche:
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
- Il trionfo di Trump: ripercussioni nazionali e internazionali della sua elezione
- Non ignorare il sostegno finanziario pubblico alle emittenti
