Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza per risolvere una vulnerabilità critica nel suo SharePoint Server locale, avvertendo che il difetto è attualmente sfruttato in natura. La società tecnologica ha anche rivelato un secondo, vulnerabilità correlata.
CVE-2025-53770 Difetto critico che consente l'esecuzione di codice remoto
CVE-2025-53770 è un problema di sicurezza critico con un punteggio CVSS di 9.8. Il difetto deriva dalla deserializzazione non sicura di dati non attendibili, che può consentire agli aggressori di eseguire il codice remoto su server SharePoint vulnerabili. Sembra che solo le installazioni on-premise siano soggette a questa vulnerabilità, con SharePoint Online che rimane inalterato.
Questa vulnerabilità è considerata una variante di CVE-2025-49706, parte di una catena di exploit precedentemente nota denominata ToolShell, che Microsoft ha corretto all'inizio di questo mese.
CVE-2025-53771 Svelata un'ulteriore vulnerabilità di spoofing
Accanto alla questione critica, Microsoft ha anche rivelato un secondo bug, CVE-2025-53771 con punteggio CVSS di 6.3, che comporta una debolezza nell'attraversamento del percorso che potrebbe consentire agli aggressori autenticati di falsificare i contenuti sulla rete. Questo difetto, troppo, colpisce solo le versioni self-hosted di SharePoint ed è stato segnalato privatamente da un ricercatore di sicurezza anonimo.
Sia CVE-2025-53770 che CVE-2025-53771 sono collegati a bug precedentemente corretti (CVE-2025-49704 e CVE-2025-49706) e ora hanno ricevuto aggiornamenti più completi per mitigare il rischio di sfruttamento.
Portata degli attacchi
L'azienda di sicurezza informatica Eye Security ha confermato che almeno 54 organizzazioni, banche comprese, università, e agenzie governative, sono già caduti vittima di questa campagna di attacchi in corso. Si ritiene che l'attività di sfruttamento sia iniziata intorno a luglio 18, sistemi di targeting esposti a Internet.
CVE-2025-53770 è stato aggiunto al Vulnerabilità note sfruttate (KEV) catalogare dagli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA), che sollecita tutte le agenzie del ramo esecutivo civile federale ad applicare le patch necessarie entro luglio 21.
Perché la patch non è sufficiente
Gli esperti di sicurezza sottolineano che l'applicazione delle patch è solo una parte della soluzione. Secondo l'unità di Palo Alto Networks 42, gli aggressori stanno aggirando l'autenticazione a più fattori (MFA) e accesso unico (SSO) sistemi per ottenere accessi privilegiati. Una volta dentro, stanno esfiltrando dati, installazione di malware persistente, e il furto delle chiavi di crittografia, rappresentando una minaccia più ampia per l'ecosistema Microsoft.
Unità 42 ha avvertito che le organizzazioni dovrebbero presumere un compromesso se eseguono server SharePoint rivolti a Internet. Data la profonda integrazione di SharePoint con servizi come Office, Squadre, Una guida, e prospettive, qualsiasi violazione potrebbe garantire agli aggressori l'accesso ai dati più sensibili di un'organizzazione.
Hanno anche sottolineato che la disconnessione delle istanze vulnerabili di SharePoint da Internet potrebbe essere necessaria come misura difensiva immediata..
Azioni consigliate per i clienti
Per ridurre il rischio e minimizzare i potenziali danni, Microsoft consiglia organizzazioni ad adottare le seguenti misure:
- Aggiorna tutti i server SharePoint 2016, 2019, e installazioni di Subscription Edition
- Applicare gli ultimi aggiornamenti di sicurezza per SharePoint
- Attiva l'interfaccia di scansione antimalware (AMSI) e impostalo su Modalità completa
- Utilizzare Microsoft Defender per Endpoint o un'altra soluzione EDR comparabile
- Ruotare le chiavi della macchina ASP.NET e riavviare IIS su tutti i server SharePoint dopo l'applicazione della patch
Nei casi in cui AMSI non può essere abilitato, Microsoft consiglia vivamente di ruotare le chiavi della macchina dopo l'aggiornamento come passaggio cruciale.
Versioni patchate
Le seguenti versioni includono le protezioni più recenti:
- Microsoft SharePoint Server 2019 (16.0.10417.20027)
- SharePoint Enterprise Server 2016 (16.0.5508.1000)
- Edizione di abbonamento a SharePoint Server
- SharePoint Server 2019 Nucleo
- SharePoint Server 2016 (aggiornamento in sospeso)
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: