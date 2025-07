Microsoft è sotto attacco di cybercriminali stanno sfruttando vulnerabilità in SharePoint – piattaforma di Content Management System (CMS) che permette la creazione e distribuzione di siti web – con conseguenti possibili rischi per decine di migliaia di server che vengono sfruttati in ambito aziendale.

Microsoft ha diffuso un alert giorno 19 luglio, spiegando di essere a conoscenza di “attacchi attivi” in corso e di essere al lavoro per risolvere l’exploit zero day.

La vulnerabilità è stata identificata da ricercatori di Eye Security il 18 luglio: permette ai cybercriminali di accedere a determinate versioni locali di SharePoint e sottrarre chiavi crittografiche che permettono di spacciarsi per utenti legittimi o impersonare servizi anche dopo il riavvio del server o l’applicazione di patch.

L’exploit sfruttato, noto come ToolShell, è stato individuato a maggio, nell’ambito del contest Pwn2Own di Berlino: un team di ricercatori ha individuato le vulnerabilità CVE-2025-49706 e CVE-2025-49704 che consentono di eseguire codice remoto sui sistemi SharePoint Server on-premises (quindi non su versioni cloud) senza autenticazione.

Microsoft ha distribuito ò’8 luglio le patch per le vulnerabilità in questione ma i cybercriminali sono riusciti ad aggirare le protezioni predisposte. L’azienda di Redmond ha confermato l’esistenza dell’exploit e ha rilasciando patch aggiornate per le vulnerabilità CVE-2025-53770 e CVE-2025-53771 che includono protezioni più robuste. Le patch sono disponibili per SharePoint Server Subscription Edition e SharePoint Server 2019; a breve dovrebbero essere rilasciate patch anche per SharePoint Server 2016.

La Casa di Redmond suggerisce per il momento di attivare l’integrazione di AMSI (Antimalware Scan Interface) in SharePoint per consentire la scansione e cambiare tutte le chiavi crittografiche.

