Sfruttamento delle Vulnerabilità di SharePoint
Secondo un rapporto di Check Point Research, una grave vulnerabilità critica scoperta recentemente in Microsoft SharePoint è stata sfruttata attivamente da almeno il 7 luglio 2025. I primi tentativi di attacco sono stati rilevati ai danni di un importante governo occidentale, ma nelle settimane successive l’attività malevola si è estesa, coinvolgendo settori chiave come amministrazioni pubbliche, telecomunicazioni e software tra Nord America ed Europa occidentale.
Origine e Metodologia degli Attacchi
Le indagini hanno identificato almeno tre indirizzi IP da cui provenivano gli attacchi, uno dei quali è stato già collegato in passato ad altre vulnerabilità sfruttate su dispositivi Ivanti Endpoint Manager Mobile. Gli aggressori hanno mostrato una conoscenza tecnica elevata, riuscendo a combinare diverse falle di sicurezza di SharePoint Server, tra cui la CVE-2025-53770, che consente l’esecuzione di codice da remoto, e la CVE-2025-49706, legata a uno spoofing risolto con il recente aggiornamento di sicurezza Microsoft.
Minaccia Imminente per le Infrastrutture Globali
Lotem Finkelstein, Direttore dell’Intelligence sulle Minacce di Check Point Research, ha sottolineato la gravità della situazione: “Assistiamo a una minaccia urgente e concreta che rischia di coinvolgere migliaia di organizzazioni nel mondo. Dal 7 luglio il nostro team ha registrato dozzine di tentativi di compromissione in settori strategici. È fondamentale aggiornare tempestivamente i sistemi di sicurezza.”
Risposta e Aggiornamenti di Sicurezza di Microsoft
Il 19 luglio 2025, il Microsoft Security Response Center ha pubblicato un avviso urgente riguardante attacchi attivi che colpiscono esclusivamente i server SharePoint on-premises. Tali vulnerabilità non riguardano SharePoint Online incluso in Microsoft 365. Microsoft ha messo a disposizione aggiornamenti di sicurezza completi per tutte le versioni supportate di SharePoint Server (Subscription Edition, 2019 e 2016), raccomandando l’installazione immediata per proteggere gli utenti da queste nuove minacce.
Gli aggiornamenti risolvono sia le nuove vulnerabilità scoperte sia altre già note, tra cui CVE-2025-53770, CVE-2025-49704, CVE-2025-49706 e la relativa falla di sicurezza CVE-2025-53771.
Gruppi di Attacco e Dinamiche Observate
Microsoft ha identificato due gruppi statali cinesi, noti come Linen Typhoon e Violet Typhoon, tra i principali responsabili degli attacchi, insieme ad un altro attore, Storm-2603. Le indagini proseguono anche su altre possibili fonti. Considerando la velocità con cui queste vulnerabilità vengono sfruttate, Microsoft prevede con alta probabilità un aumento degli attacchi mirati ai sistemi non aggiornati.
Raccomandazioni per le Aziende
Oltre a mantenere i sistemi aggiornati, Microsoft suggerisce di abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o equivalenti) su tutti i server SharePoint on-premises, configurando AMSI in modalità Full. Si consiglia inoltre di ruotare le chiavi ASP.NET, riavviare Internet Information Services (IIS) e adottare soluzioni di endpoint protection avanzate.
Tecniche di Attacco Dopo la Violazione
Una volta superate le difese, gli aggressori hanno utilizzato web shell per mantenere l’accesso ai server compromessi. Queste backdoor venivano caricate tramite richieste POST appositamente modificate, spesso con script nominati spinstall0.aspx o varianti simili, che consentivano agli hacker di ottenere le chiavi MachineKey del server attraverso semplici richieste GET, garantendo così un accesso persistente e la possibilità di rubare dati sensibili.