Grave alerta per SharePoint: ToolShell è un attacco in corso che elude le difese tradizionali

Una campagna di attacchi mirati sta sfruttando una vulnerabilità critica in Microsoft SharePoint Server per compromettere infrastrutture aziendali e istituzionali. Il bug, tracciato come CVE-2025-53770, consente l’esecuzione di codice remoto da parte di attaccanti non autenticati e rappresenta una grave minaccia per migliaia di ambienti esposti su Internet. A rendere ancora più grave la situazione è la conferma, da parte di Microsoft e di varie società di threat intelligence, che la vulnerabilità è attivamente sfruttata da almeno un gruppo ben organizzato e con capacità avanzate.

Secondo quanto emerso, l’exploit sfrutta una combinazione di richieste malevole inviate a una specifica pagina di SharePoint (ToolPane.aspx), manipolando i parametri HTTP per bypassare i meccanismi di controllo. La catena di attacco consente di caricare una web shell ASPX attraverso PowerShell, che viene poi utilizzata per sottrarre le chiavi di crittografia ASP.NET. In particolare, il furto delle chiavi MachineKey permette agli attaccanti di mantenere un accesso persistente al sistema anche dopo l’applicazione di patch, configurando uno scenario di compromissione permanente se non si interviene con misure di bonifica avanzate.

Le infezioni rilevate finora, secondo i dati raccolti da Eye Security e Unit 42 di Palo Alto Networks, hanno coinvolto diverse decine di organizzazioni, tra cui enti pubblici federali e statali statunitensi, ospedali, università e aziende dei settori telecomunicazioni, energia e finanza. Tuttavia, secondo una stima prudente, potrebbero essere oltre 8.000 le istanze di SharePoint vulnerabili ancora esposte, molte delle quali configurate per l’accesso pubblico via Internet. Le analisi forensi mostrano che l’attività malevola è iniziata intorno al 18 luglio 2025, e che l’exploit utilizzato è identico in tutti i casi, a conferma della matrice unitaria dell’attacco.

A differenza di SharePoint Online che non è affetto dalla vulnerabilità, le versioni on-premise risultano direttamente esposte. Microsoft ha rilasciato patch correttive per SharePoint 2019 e per la Subscription Edition, mentre un aggiornamento per SharePoint 2016 è atteso a breve. Tuttavia, la stessa Microsoft ha avvertito che la sola applicazione delle patch non è sufficiente a eliminare il rischio, se il sistema è già stato compromesso. Gli amministratori dovranno infatti anche procedere alla rotazione delle chiavi MachineKey, riavviare i servizi IIS e condurre un’analisi approfondita per individuare eventuali web shell o strumenti di accesso remoto occultati nei sistemi.

La gravità della situazione ha spinto anche la Cybersecurity and Infrastructure Security Agency (CISA) a inserire il CVE-2025-53770 nel proprio catalogo delle vulnerabilità attivamente sfruttate, invitando tutte le organizzazioni pubbliche e private a disconnettere temporaneamente i server esposti a Internet, in attesa dell’adozione di tutte le misure correttive. Tra le azioni consigliate figurano anche l’attivazione del modulo AMSI (Antimalware Scan Interface), l’abilitazione di Microsoft Defender Antivirus e l’impiego di soluzioni EDR per individuare attività anomale e persistenti.

Unit 42 ha inoltre lanciato un’allerta a tutti gli amministratori di sistema, sottolineando che ogni server SharePoint esposto al pubblico dovrebbe essere considerato potenzialmente compromesso, e che l’unico modo per scongiurare accessi non autorizzati è eseguire una bonifica completa del sistema, compresa l’analisi del traffico passato, la verifica dei log e il controllo dei file di sistema alla ricerca di codice iniettato.

Si consiglia di tenere alta l’attenzione al rilascio di patch in questi giorni per esser sicuri di aggiornare tempestivamente i sistemi.