Aggiornamenti recenti Luglio 22nd, 2025 1:05 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacco ToolShell a Sharepoint: i criminali hanno iniziato usarlo almeno dal 7 luglio
- APT41, il gruppo cinese amplia il raggio d’azione in Africa
- PoisonSeed è riuscito ad aggirare la protezione FIDO
- Grave alerta SharePoint: attacco in corso che elude le difese
- CERT-AGID 12 – 18 luglio: i finti QR code di PagoPA
Attacco ToolShell a Sharepoint: i criminali hanno iniziato usarlo almeno dal 7 luglio
La campagna di attacchi mirati che sta sfruttando una vulnerabilità zero-day in Microsoft SharePoint Server, nota come ToolShell, e che permette ai criminali informatici di ottenere accesso remoto non autenticato e di stabilire una persistenza duratura all’interno delle reti compromesse sembvra essere attiva almeno dal 7 luglio.
Secondo i ricercatori di Check Point, che per primi hanno osservato l’exploit in-the-wild, l’attività malevola è rapidamente aumentata tra il 18 e il 19 luglio, estendendosi a diverse organizzazioni attive nei settori delle telecomunicazioni, dell’industria e della pubblica amministrazione. I server vulnerabili colpiti sarebbero oltre 85, distribuiti in almeno 29 diverse organizzazioni. Negli ultimi giorni, sembra che la vulnerabilità sia stata condivisa online con un numero imprecisato di altri gruppi criminali e adesso che è stata resa pubblica sicuramente il numero di gruppi che proveranno a usarla crescerà ulteriormente.
Ricordiamo che la falla sfruttata è stata identificata con il codice CVE-2025-53770, una vulnerabilità critica (CVSS 9.8) legata alla deserializzazione di dati non attendibili. L’exploit permette a un attaccante remoto di eseguire codice arbitrario sul server, con privilegi elevati, senza necessità di autenticazione. Secondo quanto emerso, il vettore d’attacco impiega come endpoint la pagina /_layouts/15/ToolPane.aspx e si basa su una catena di exploit che prevede anche il bypass delle misure di autenticazione.
Data la criticità dell’evento, riportiamo anche le tracce principali degli avvenimenti e delle violazioni. Uno degli aspetti più preoccupanti della tecnica usata riguarda il furto delle chiavi crittografiche contenute nel file machine.config di SharePoint, ovvero la ValidationKey e la DecryptionKey. Queste chiavi sono fondamentali per firmare e decifrare le informazioni contenute nei payload __VIEWSTATE, che SharePoint utilizza per la gestione dello stato dell’interfaccia utente. Una volta in possesso di queste chiavi, gli attaccanti possono generare richieste perfettamente valide per il server, rendendo possibile la compromissione anche dopo l’installazione della patch.
In alcuni dei casi analizzati, dopo l’esecuzione dell’exploit iniziale, gli attaccanti hanno distribuito una web shell persistente tramite PowerShell, fornendosi un punto d’ingresso permanente nei sistemi compromessi. Il malware installato viene in genere usato per mantenere il controllo remoto e per esfiltrare dati sensibili, in particolare credenziali amministrative e configurazioni interne.
Microsoft ha risposto rapidamente pubblicando una patch di emergenza per la CVE-2025-53770 e una seconda vulnerabilità correlata, la CVE-2025-53771, che consente bypass di autenticazione tramite manipolazione del percorso delle richieste HTTP. Entrambe sono state aggiunte al Catalogo KEV (Known Exploited Vulnerabilities) della CISA, che ne ha imposto l’aggiornamento obbligatorio a tutte le agenzie federali statunitensi.
Gli esperti sottolineano che, in questo caso, applicare la patch non basta: le chiavi machineKey potrebbero essere già state sottratte e utilizzate per attacchi successivi. È quindi fondamentale anche rigenerare queste chiavi, ruotare tutte le credenziali eventualmente compromesse e verificare attentamente la presenza di web shell, script sospetti o movimenti laterali all’interno dell’infrastruttura.
Per aumentare la resilienza, Microsoft consiglia anche l’attivazione dell’Antimalware Scan Interface (AMSI) su tutti i server SharePoint, in modo da intercettare i payload malevoli prima che vengano eseguiti. È inoltre consigliabile isolare i server esposti a Internet e sottoporre l’intero ambiente a una revisione di sicurezza.
La campagna ToolShell mostra un’elevata sofisticazione e una chiara volontà di persistenza con una particolare attenzione alla compromissione dei sistemi Microsoft su più livelli, inclusi SharePoint, Exchange, OneDrive e Teams. Tra gli IP utilizzati negli attacchi figura anche un indirizzo già coinvolto in precedenti exploit su Ivanti EPMM, a dimostrazione del fatto che si tratta probabilmente di gruppi APT con risorse e competenze elevate.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Attacco ToolShell a Sharepoint: i criminali hanno iniziato... La campagna di attacchi mirati che sta sfruttando una... -
APT41, il gruppo cinese amplia il raggio d’azione in... Il gruppo cinese APT41, già noto per attività di... -
PoisonSeed è riuscito ad aggirare la protezione FIDO Il team di ricercatori di Expel ha individuato una nuova... -
Grave alerta SharePoint: attacco in corso che elude le... Una campagna di attacchi mirati sta sfruttando una... -
CERT-AGID 12 – 18 luglio: i finti QR code di PagoPA Nel corso della settimana, il CERT-AGID ha individuato e...
Ransomware: la serie
No posts found.