Redazione RHC : 24 Luglio 2025 08:03
Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, è emerso che gli aggressori hanno compromesso anche la rete della National Nuclear Security Administration (NSA) statunitense, come riportato nell’articolo precedente.
La catena di vulnerabilità 0-day in SharePoint è stata denominata ToolShell ed è stata dimostrata per la prima volta durante la competizione di hacking Pwn2Own di Berlino nel maggio 2025. In quell’occasione, gli specialisti di Viettel Cyber Security hanno combinato due difetti (CVE-2025-49706 e CVE-2025-49704) per eseguire un attacco RCE.
Sebbene Microsoft abbia rilasciato patch per entrambe le vulnerabilità di ToolShell nel luglio 2025, gli aggressori sono riusciti a eludere le correzioni utilizzando nuovi exploit. Di conseguenza, sono state identificate nuove vulnerabilità, la CVE-2025-53770 (9,8 punti sulla scala CVSS; bypass della patch per CVE-2025-49704) e CVE-2025-53771 (6,3 punti sulla scala CVSS; bypass della patch per CVE-2025-49706). La scorsa settimana, gli analisti di Eye Security hanno segnalato che nuove vulnerabilità sono già state sfruttate per attaccare i server SharePoint locali.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Di conseguenza, gli sviluppatori Microsoft hanno già rilasciato patch di emergenza per entrambi i problemi RCE, ripristinando le vulnerabilità in SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016:
Inoltre, Microsoft consiglia vivamente agli amministratori di eseguire la rotazione delle chiavi dopo l’installazione delle patch. Si consiglia inoltre di integrare e abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o altre soluzioni simili) per tutte le distribuzioni di SharePoint locali e di configurare AMSI in modalità completa.
Come riportato da numerosi report di esperti, decine di organizzazioni in tutto il mondo sono già state vittime di attacchi. Ad esempio, report sullo sfruttamento di questi bug sono stati pubblicati da Cisco Talos , Censys , Check Point , CrowdStrike , Palo Alto Networks , Qualys , SentinelOne , Tenable , Trend Micro e così via.
A loro volta, gli esperti Microsoft scrivono che nuove vulnerabilità sono state sfruttate dai gruppi APT cinesi Linen Typhoon (noti anche come APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix e UNC215), Violet Typhoon (noti anche come APT31, Bronze Vinewood, Judgement Panda, Red Keres e Zirconium) e da un terzo gruppo di hacker cinesi, Storm-2603. Le informazioni sugli attacchi di hacker cinesi a SharePoint sono confermate anche dagli specialisti di Google Cloud di Mandiant Consulting.
Contemporaneamente, secondo gli specialisti di Check Point, i primi segnali di sfruttamento delle vulnerabilità sono stati scoperti il 7 luglio 2025. Gli aggressori hanno attaccato decine di organizzazioni nei settori governativo, delle telecomunicazioni e dell’IT in Nord America e nell’Europa occidentale. Microsoft ha condiviso i seguenti indicatori di compromissione (IOC) per aiutare i difensori a identificare i server SharePoint compromessi:
A peggiorare le cose, questa settimana è stato rilasciato su GitHub un exploit proof-of-concept per il CVE-2025-53770, per cui i ricercatori di sicurezza si aspettano che altri gruppi di hacker si uniscano presto agli attacchi di ToolShell. Secondo gli esperti di Eye Security, almeno 400 server e 148 organizzazioni in tutto il mondo sono attualmente stati colpiti da attacchi ToolShell.
Vale anche la pena notare che oggi è emerso che la National Nuclear Security Administration (NNSA) statunitense è stata vittima dell’attacco ToolShell. Questa agenzia fa parte del Dipartimento dell’Energia degli Stati Uniti, è responsabile dello stoccaggio delle scorte di armi nucleari del Paese e della risposta alle emergenze nucleari e radiologiche negli Stati Uniti e all’estero.
Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...