Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Luglio 2025 08:03
Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, è emerso che gli aggressori hanno compromesso anche la rete della National Nuclear Security Administration (NSA) statunitense, come riportato nell’articolo precedente.
La catena di vulnerabilità 0-day in SharePoint è stata denominata ToolShell ed è stata dimostrata per la prima volta durante la competizione di hacking Pwn2Own di Berlino nel maggio 2025. In quell’occasione, gli specialisti di Viettel Cyber Security hanno combinato due difetti (CVE-2025-49706 e CVE-2025-49704) per eseguire un attacco RCE.
Sebbene Microsoft abbia rilasciato patch per entrambe le vulnerabilità di ToolShell nel luglio 2025, gli aggressori sono riusciti a eludere le correzioni utilizzando nuovi exploit. Di conseguenza, sono state identificate nuove vulnerabilità, la CVE-2025-53770 (9,8 punti sulla scala CVSS; bypass della patch per CVE-2025-49704) e CVE-2025-53771 (6,3 punti sulla scala CVSS; bypass della patch per CVE-2025-49706). La scorsa settimana, gli analisti di Eye Security hanno segnalato che nuove vulnerabilità sono già state sfruttate per attaccare i server SharePoint locali.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Di conseguenza, gli sviluppatori Microsoft hanno già rilasciato patch di emergenza per entrambi i problemi RCE, ripristinando le vulnerabilità in SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016:
Inoltre, Microsoft consiglia vivamente agli amministratori di eseguire la rotazione delle chiavi dopo l’installazione delle patch. Si consiglia inoltre di integrare e abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o altre soluzioni simili) per tutte le distribuzioni di SharePoint locali e di configurare AMSI in modalità completa.
Come riportato da numerosi report di esperti, decine di organizzazioni in tutto il mondo sono già state vittime di attacchi. Ad esempio, report sullo sfruttamento di questi bug sono stati pubblicati da Cisco Talos , Censys , Check Point , CrowdStrike , Palo Alto Networks , Qualys , SentinelOne , Tenable , Trend Micro e così via.
A loro volta, gli esperti Microsoft scrivono che nuove vulnerabilità sono state sfruttate dai gruppi APT cinesi Linen Typhoon (noti anche come APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix e UNC215), Violet Typhoon (noti anche come APT31, Bronze Vinewood, Judgement Panda, Red Keres e Zirconium) e da un terzo gruppo di hacker cinesi, Storm-2603. Le informazioni sugli attacchi di hacker cinesi a SharePoint sono confermate anche dagli specialisti di Google Cloud di Mandiant Consulting.
Contemporaneamente, secondo gli specialisti di Check Point, i primi segnali di sfruttamento delle vulnerabilità sono stati scoperti il 7 luglio 2025. Gli aggressori hanno attaccato decine di organizzazioni nei settori governativo, delle telecomunicazioni e dell’IT in Nord America e nell’Europa occidentale. Microsoft ha condiviso i seguenti indicatori di compromissione (IOC) per aiutare i difensori a identificare i server SharePoint compromessi:
A peggiorare le cose, questa settimana è stato rilasciato su GitHub un exploit proof-of-concept per il CVE-2025-53770, per cui i ricercatori di sicurezza si aspettano che altri gruppi di hacker si uniscano presto agli attacchi di ToolShell. Secondo gli esperti di Eye Security, almeno 400 server e 148 organizzazioni in tutto il mondo sono attualmente stati colpiti da attacchi ToolShell.
Vale anche la pena notare che oggi è emerso che la National Nuclear Security Administration (NNSA) statunitense è stata vittima dell’attacco ToolShell. Questa agenzia fa parte del Dipartimento dell’Energia degli Stati Uniti, è responsabile dello stoccaggio delle scorte di armi nucleari del Paese e della risposta alle emergenze nucleari e radiologiche negli Stati Uniti e all’estero.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
