Dopo giorni di allarme internazionale e attacchi informatici a catena, poche ore fa Microsoft ha rilasciato una patch d’emergenza per due gravi vulnerabilità zero-day che hanno colpito i server on-premise di SharePoint, la piattaforma di collaborazione e gestione documentale adottata da enti pubblici e aziende in tutto il mondo.
L’aggiornamento rappresenta una prima risposta concreta dopo una giorni di incertezza e preoccupazione, ma la soluzione non è ancora definitiva per tutti, dato che la patch copre solo alcune versioni del software, lasciando temporaneamente scoperti altri sistemi.
Cosa è successo
L’attacco, ribattezzato “ToolShell”, è iniziato il 18 luglio e ha rapidamente assunto dimensioni globali. Gli hacker hanno sfruttato due nuove vulnerabilità, identificate come CVE-2025-53770 e CVE-2025-53771, riuscendo a eludere i precedenti correttivi di Microsoft (rilasciati nel Patch Tuesday di luglio per le falle CVE-2025-49704 e CVE-2025-49706) e a ottenere il controllo remoto dei server.
Sono stati compromessi decine di enti pubblici, università, aziende energetiche e agenzie governative, fra cui almeno due federali statunitensi, realtà in Europa e Sud America, e anche una società di telecomunicazioni asiatica.
A essere colpiti sono esclusivamente i server SharePoint installati localmente nelle organizzazioni (on-premise), non i servizi cloud come Microsoft 365, rimasti immuni.
L’attacco permette ai cybercriminali di sottrarre chiavi di sicurezza crittografiche, accedere a dati sensibili e, in alcuni casi, mantenere l’accesso anche dopo l’applicazione delle patch, rendendo più complesso il processo di messa in sicurezza.
Quali sono le versioni interessate e le soluzioni disponibili
Microsoft ha rilasciato aggiornamenti specifici per due versioni:
Al momento, invece, SharePoint Enterprise Server 2016 resta privo di patch e rimane vulnerabile. L’azienda ha annunciato che è al lavoro su un aggiornamento anche per questa versione, ma non ha ancora comunicato una tempistica precisa.
Dopo l’installazione delle patch, è fondamentale che gli amministratori ruotino le machine key di SharePoint, operazione che si può eseguire sia da PowerShell (Update-SPMachineKey) sia dalla Central Administration (tramite la voce Machine Key Rotation Job). Questa misura è indispensabile per annullare l’efficacia di eventuali chiavi compromesse.
Cosa devono fare gli amministratori non coperti dalle patch
Per chi non può ancora applicare la patch o utilizza versioni non coperte, Microsoft consiglia di disconnettere i server SharePoint da internet e abilitare il sistema AMSI (Antimalware Scan Interface), oltre a eseguire una scansione approfondita dei log e del file system per individuare tracce di compromissione, come la presenza del file “spinstall0.aspx”.
Maggiori informazioni sulla vulnerabilità e sulle correzioni sono disponibili sulla pagina di sicurezza di Microsoft.
