Microsoft CORREGGE zero-day CVE-2025-53770 in SharePoint Server. ECCO COSA FARE

di Redazione
0 commenti 5 minuti di lettura

Il 18 luglio 2025, Microsoft ha confermato l’esistenza di una vulnerabilità zero-day ad alto impatto in SharePoint Server, classificata come CVE-2025-53770, che consente l’esecuzione di codice remoto (RCE) senza autenticazione. Il problema risiede in una deserializzazione non sicura all’interno dei processi di gestione dei dati, attivamente sfruttata da attori malevoli in campagne mirate contro ambienti enterprise. Con un punteggio CVSS pari a 9.8, questa vulnerabilità è già stata sfruttata su larga scala per l’esfiltrazione di dati sensibili e l’installazione di backdoor persistenti. Il problema colpisce le versioni SharePoint Server 2016, 2019 e Subscription Edition, ma non interessa SharePoint Online integrato in Microsoft 365. Microsoft, pur non disponendo ancora di una patch definitiva, ha pubblicato mitigazioni temporanee basate sull’uso di AMSI e Microsoft Defender Antivirus per contenere il rischio immediato. La falla fa parte di una catena di exploit che include anche CVE-2025-49704 e CVE-2025-49706, utilizzate per rubare la MachineKey e caricare file ASPX malevoli in grado di eseguire comandi da remoto.

Microsoft corre ai ripari: vulnerabilità zero-day in SharePoint colpisce server on-premise

Una grave vulnerabilità zero-day affligge le versioni on-premise di Microsoft SharePoint Server, sfruttata in attacchi reali con capacità di esecuzione di codice remoto (RCE). Identificata come CVE-2025-53770, la falla è stata scoperta in attività malevole condotte a partire dal 18 luglio 2025 e riconosciuta ufficialmente da Microsoft Security Response Center (MSRC). La vulnerabilità colpisce SharePoint Server 2016, 2019 e Subscription Edition, escludendo SharePoint Online. Il 20 luglio Microsoft ha rilasciato un aggiornamento di sicurezza per SharePoint Server 2019 e Subscription Edition, offrendo finalmente una patch completa per mitigare gli attacchi in corso. SharePoint Server 2016 resta, al momento, privo di aggiornamenti correttivi, ma Microsoft promette che verranno distribuiti a breve.

Origine e catena dell’attacco

La CVE-2025-53770 nasce da una deserializzazione non sicura dei dati, sfruttata da attori non autenticati per inviare richieste POST manipolate all’endpoint ToolPane.aspx. Le richieste, camuffate con il Referer a SignOut.aspx, attivano la catena di exploit nota come ToolShell, che include anche CVE-2025-49704 (injection) e CVE-2025-49706 (spoofing). Gli attaccanti utilizzano tool come ysoserial per generare payload firmati all’interno del campo __VIEWSTATE, rubando le MachineKey ASP.NET necessarie a firmare ulteriori richieste malevole. Successivamente caricano file .aspx maliziosi come spinstall0.aspx, in grado di eseguire comandi PowerShell per prendere il controllo del server.

Patch e aggiornamenti disponibili

Il 20 luglio, Microsoft ha pubblicato le seguenti patch ufficiali:

Queste patch risolvono sia la CVE-2025-53770 che la correlata CVE-2025-53771, ritenute critiche per la sicurezza aziendale.

ProductKB ArticleSecurity UpdateFixed Build Number
Microsoft SharePoint Server 20195002741Security Update16.0.10417.20027
Microsoft SharePoint Enterprise Server 20165002744Security Update16.0.5508.1000

Per SharePoint Server 2016, Microsoft ha confermato che gli aggiornamenti sono in lavorazione. Gli utenti di questa versione devono temporaneamente affidarsi a misure di contenimento e mitigazione manuale.

Raccomandazioni tecniche: mitigazione immediata

Microsoft consiglia una serie di azioni urgenti per mitigare il rischio di compromissione, in particolare su server non ancora patchati:

  • Attivare l’Antimalware Scan Interface (AMSI) in modalità completa. AMSI è attivo di default dal settembre 2023 per SharePoint 2016/2019 e dalla versione 23H2 su Subscription Edition.
  • Installare Microsoft Defender Antivirus, configurato per intercettare comportamenti legati allo script SuspSignoutReq.A e al trojan HijackSharePointServer.A.
  • Ruotare le MachineKey ASP.NET dopo l’aggiornamento di sicurezza, per impedire l’uso malevolo delle chiavi compromesse.
  • Riavviare IIS su tutti i server dopo la rotazione delle chiavi.

Nel caso in cui AMSI non possa essere abilitato, Microsoft raccomanda di disconnettere il server da Internet fino all’arrivo della patch ufficiale.

Impatto operativo e compromissioni note

Secondo Microsoft e i partner di sicurezza, tra cui Trend Micro ZDI e Viettel Cyber Security, gli attacchi hanno già compromesso infrastrutture governative e reti aziendali con impatti significativi. Le compromissioni includono:

  • Furto di documenti interni e esfiltrazione di configurazioni server.
  • Persistenza tramite webshell (es. spinstall0.aspx) che consente il movimento laterale in rete.
  • Mimetismo del traffico HTTP per evitare la detection, rendendo i log di IIS fondamentali per l’individuazione.

Tra gli IP malevoli coinvolti nelle campagne si segnalano:
107.191.58.76, 104.238.159.149 e 96.9.125.147.

Microsoft ha inoltre incluso la vulnerabilità nel catalogo CISA Known Exploited Vulnerabilities, riconoscendola come attivamente sfruttata e pericolosa per le infrastrutture critiche.

Sistemi di detection e hunting

Microsoft fornisce query avanzate da utilizzare in Microsoft 365 Defender per rilevare comportamenti sospetti:

  • Creazione del file spinstall0.aspx in directory SharePoint LAYOUTS.
  • Esecuzione di w3wp.exe che spawna comandi PowerShell codificati in Base64.
  • Caricamento di .NET assembly sospetti da processi IIS.
  • Alert automatizzati come:
    • “Possible web shell installation”
    • “HijackSharePointServer malware blocked”

Attraverso la piattaforma Microsoft Defender Vulnerability Management, è possibile mappare i dispositivi esposti e lo stato di remediation, filtrando per gli identificatori CVE-2025-49706 e CVE-2025-53770.

Implicazioni strategiche e soluzioni a lungo termine

La campagna di attacchi sfruttando la CVE-2025-53770 evidenzia la necessità di migliorare il patch management nei contesti enterprise che continuano a utilizzare SharePoint on-premise. L’adozione di SharePoint Online riduce significativamente la superficie di attacco, eliminando vulnerabilità simili grazie alla gestione cloud.

Inoltre, l’incidente ha stimolato una revisione profonda di:

  • Policy di accesso e privilegi admin
  • Monitoraggio centralizzato via SIEM
  • Incident response plan, con simulazioni e training periodici

Microsoft ha confermato che futuri aggiornamenti includeranno serializer sicuri per evitare il parsing non validato dei dati in __VIEWSTATE, chiudendo la porta a exploit come ToolShell.

Articoli correlati

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies