Gli esperti di Eye Research hanno individuato un exploit per una vulnerabilità zero-day di SharePoint Server. In realtà, le vulnerabilità sono due e sono correlate ad altre due vulnerabilità scoperte a maggio. I cybercriminali sono riusciti ad aggirare le patch rilasciate da Microsoft. L’azienda di Redmond ha distribuito nuove patch di emergenza.
Descrizione dell’exploit
Durante il contest Pwn2Own di Berlino a maggio, un team di ricercatori ha scoperto le vulnerabilità CVE-2025-49706 e CVE-2025-49704 che permettono di eseguire codice remoto sui sistemi SharePoint Server on-premises (quindi non su SharePoint Online incluso in Microsoft 365) senza autenticazione. L’exploit che combina questi due bug è noto come ToolShell.
Lo scorso 18 luglio, Eye Security ha ricevuto un alert dal CrowdStrike Falcon EDR, fornito ad un cliente, dovuto ad un file ASPX. I ricercatori pensavano di trovare una web shell standard per esecuzione di comandi, upload di file o movimento laterale. Invece, l’unico scopo del file ASPX era estrarre le chiavi crittografiche (MachineKey) da SharePoint Server, tra cui ValidationKey e DecryptionKey.
Usando ToolShell (CVE-2025-49706 + CVE-2025-49704), i cybercriminali hanno estratto la ValidationKey direttamente dalla configurazione MachineKey o dalla memoria. Tramite il tool open source ysoserial hanno quindi generato i token per eseguire l’attacco RCE (Remote Code Execution) senza utilizzare le credenziali di login.
Microsoft ha distribuito le patch per le suddette vulnerabilità lo scorso 8 luglio, ma i cybercriminali hanno aggirato le protezioni introdotte. L’azienda di Redmond ha confermato l’esistenza dell’exploit (Eye Security ha individuato oltre 85 server vulnerabili, ma potrebbero essere oltre 10.000), rilasciando le patch aggiornate per le vulnerabilità CVE-2025-53770 e CVE-2025-53771 che includono protezioni più robuste.
Le patch sono disponibili per SharePoint Server Subscription Edition e SharePoint Server 2019. Nei prossimi giorni verrà rilasciata anche quella per SharePoint Server 2016. Microsoft consiglia inoltre di attivare l’integrazione di AMSI (Antimalware Scan Interface) in SharePoint che consente la scansione con una soluzione di sicurezza e cambiare tutte le chiavi crittografiche.
Aggiornamento: Microsoft ha pubblicato una guida che illustra la strategia di protezione.
