Diversi ricercatori avevano svelato che alcuni attacchi contro i server SharePoint sono stati effettuati da cybercriminali cinesi. Ora è arrivata la conferma ufficiale da Microsoft. Al momento sono stati individuati tre gruppi: Linen Typhoon, Violet Typhoon e Storm-2603. L’azienda di Redmond ha descritto le vulnerabilità in dettaglio e fornito una guida per implementare le misure protettive.
Exploit cinesi in circolazione
Microsoft ha rilasciato le patch di sicurezza per SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server Subscription Edition che risolvono le vulnerabilità zero-day CVE-2025-53770 e CVE-2025-53771 correlate alle precedenti CVE-2025-49706 e CVE-2025-49704. Sono interessati solo i server on-premises (gestiti localmente dalle aziende), non SharePoint Online in Microsoft 365.
Gli exploit in circolazione permettono di accedere ai server attraverso una richiesta POST all’endpoint ToolPane. I cybercriminali aggirano quindi il meccanismo di autenticazione e possono eseguire codice remoto. In dettaglio hanno caricato sui server lo script spinstall0.aspx che contiene i comandi per estrarre i dati MachineKey, tra cui le chiavi crittografiche utilizzate per l’intrusione senza credenziali di login.
A partire dal 7 luglio, Microsoft ha rilevato attacchi da almeno tre gruppi di cybercriminali: Linen Typhoon, Violet Typhoon e Storm-2603. Tutti sono “sponsorizzati” dal governo cinese ed eseguono solitamente attacchi di cyberspionaggio e furto di proprietà intellettuale.
Le aziende devono ovviamente installare le patch nel minor tempo possibile. Microsoft consiglia inoltre di attivare la funzionalità Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o soluzioni equivalenti). Devono infine essere cambiate tutte le chiavi crittografiche (seguendo le istruzioni indicate nel post) e riavviato Internet Information Services (IIS) su tutti i server SharePoint.
