Escape di ToolShell: la nuova minaccia che colpisce i server Microsoft SharePoint

Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come “ToolShell“, che permette agli aggressori di acquisire il controllo completo e remoto dei sistemi, bypassando l’autenticazione.

Eye Security, un’azienda olandese di sicurezza informatica, ha identificato lo sfruttamento attivo il 18 luglio 2025, rivelando quella che i ricercatori di sicurezza descrivono come una delle transizioni più rapide dalla prova di concetto allo sfruttamento di massa nella storia recente.

La catena di vulnerabilità combina due falle di sicurezza critiche, CVE-2025-49706 e CVE-2025-49704 , originariamente dimostrate al Pwn2Own Berlin 2025 a maggio dai ricercatori di sicurezza di CODE WHITE GmbH, un’azienda tedesca di sicurezza offensiva.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Sebbene gli sviluppatori Microsoft abbiano corretto entrambe le vulnerabilità di ToolShell a luglio, gli aggressori sono riusciti a bypassare le correzioni utilizzando nuovi exploit. Le nuove vulnerabilità sono state identificate come CVE-2025-53770 (9,8 punti sulla scala CVSS; bypassando la patch per CVE-2025-49704) e CVE-2025-53771 (6,3 punti sulla scala CVSS; bypassando la patch per CVE-2025-49706) e sono già attivamente utilizzate per attaccare i server SharePoint locali.

L’exploit è rimasto inattivo fino al 15 luglio 2025, quando CODE WHITE ha condiviso pubblicamente i risultati dettagliati delle sue ricerche sulle piattaforme dei social media dopo il rilascio ufficiale della patch da parte di Microsoft. Nel giro di sole 72 ore dalla divulgazione al pubblico, gli autori della minaccia avevano reso operativo con successo l’exploit per attacchi coordinati su larga scala.

L’indagine approfondita di Eye Security ha rivelato che gli aggressori hanno iniziato uno sfruttamento sistematico di massa il 18 luglio 2025, intorno alle 18:00 ora dell’Europa centrale, utilizzando inizialmente l’indirizzo IP 107.191.58.76. Una seconda distinta ondata di attacchi è emersa da 104.238.159.149 il 19 luglio 2025 alle 07:28 CET, indicando chiaramente una campagna internazionale ben coordinata.

L’exploit di ToolShell aggira i meccanismi di autenticazione tradizionali prendendo di mira /_layouts/15/ToolPane.aspx l’endpoint vulnerabile di SharePoint. A differenza delle web shell convenzionali progettate principalmente per l’esecuzione di comandi, il payload dannoso estrae specificatamente chiavi crittografiche sensibili dai server di SharePoint, tra cui i materiali critici ValidationKey e DecryptionKey.

“Non si trattava della tipica webshell”, hanno spiegato i ricercatori di Eye Security nella loro dettagliata analisi tecnica. “L’attaccante trasforma la fiducia intrinseca di SharePoint nella propria configurazione in un’arma potente”. Una volta ottenuti con successo questi segreti crittografici, gli aggressori possono creare un payload __VIEWSTATE completamente validi per ottenere l’esecuzione completa del codice remoto, senza richiedere alcuna credenziale utente.

L’attacco sofisticato sfrutta tecniche simili al CVE-2021-28474, sfruttando i processi di deserializzazione e controllo del rendering di SharePoint. Ottenendo la ValidationKey del server, gli aggressori possono firmare digitalmente payload dannosi che SharePoint accetta automaticamente come input legittimo e attendibile, aggirando di fatto tutti i controlli di sicurezza e le misure difensive esistenti.

La scansione completa di oltre 1.000 server SharePoint distribuiti in tutto il mondo effettuata da Eye Security ha evidenziato decine di sistemi attivamente compromessi in numerose organizzazioni. L’azienda di sicurezza informatica ha immediatamente avviato procedure di divulgazione responsabile, contattando direttamente tutte le organizzazioni interessate e i Computer Emergency Response Team (CERT) nazionali in tutta Europa e a livello internazionale.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.