Vulnerabilità Zero-Day CVE-2025-53770
Una grave falla di sicurezza in Microsoft SharePoint Server è diventata il fulcro di una campagna di attacchi informatici su larga scala in corso. Identificata come CVE-2025-53770 con un punteggio CVSS di 9,8, questa vulnerabilità è classificata come zero-day ed è strettamente correlata a CVE-2025-49704 (CVSS 8.8), un bug di iniezione di codice ed esecuzione di codice remoto risolto durante gli aggiornamenti del Patch Tuesday di Microsoft di luglio 2025. La falla deriva dalla deserializzazione di dati non attendibili, che consente agli aggressori di eseguire codice dannoso da remoto e senza la dovuta autorizzazione.
Sommario
Attacchi attivi e sistemi interessati
I ricercatori hanno confermato che i criminali informatici stanno sfruttando attivamente questa vulnerabilità contro le istanze di SharePoint Server on-premise. È importante sottolineare che SharePoint Online in Microsoft 365 rimane inalterato. Gli aggressori stanno sfruttando il modo in cui SharePoint gestisce gli oggetti non attendibili durante la deserializzazione, ottenendo la possibilità di eseguire comandi prima dell'autenticazione dell'utente. Una volta all'interno del sistema, gli aggressori possono generare payload contraffatti utilizzando chiavi macchina rubate, consentendo il movimento laterale e l'accesso persistente. Ciò rende difficili il rilevamento e la mitigazione, poiché la loro attività può imitare il traffico legittimo di SharePoint.
Catene di exploit complesse
Le prove suggeriscono che CVE-2025-53770 venga utilizzato insieme ad altre falle, tra cui CVE-2025-49706 (un bug di spoofing con punteggio CVSS di 6,3) e CVE-2025-49704, per formare una catena di exploit avanzata nota come ToolShell. Gli aggressori sfruttano CVE-2025-49706 per distribuire payload di esecuzione di codice remoto che sfruttano CVE-2025-49704. L'aggiunta di '_layouts/SignOut.aspx' come referrer HTTP trasformerebbe CVE-2025-49706 in CVE-2025-53770, consentendo un processo di exploit più snello.
Gli attacchi in genere coinvolgono payload ASPX distribuiti tramite PowerShell, con l'obiettivo di rubare la configurazione MachineKey del server (ValidationKey e DecryptionKey). Queste chiavi sono cruciali perché consentono agli aggressori di creare payload __VIEWSTATE dannosi che SharePoint accetterà come validi, trasformando di fatto qualsiasi richiesta autenticata in un'opportunità di esecuzione di codice remoto.
Scala del compromesso
Finora, sono stati compromessi più di 85 server SharePoint in tutto il mondo, con un impatto su almeno 29 organizzazioni, tra cui multinazionali ed enti governativi. Una volta che gli aggressori hanno le chiavi crittografiche, la correzione diventa molto più complessa. Anche dopo aver applicato una patch di sicurezza, le chiavi rubate potrebbero comunque consentire agli aggressori di mantenere l'accesso, a meno che non vengano ruotate o riconfigurate manualmente.
Misure di mitigazione
Fino al rilascio di una patch ufficiale, Microsoft ha consigliato alle organizzazioni di abilitare l'integrazione di Antimalware Scan Interface (AMSI) in SharePoint. Per i clienti che non sono riusciti ad attivare AMSI, si consigliava vivamente di scollegare i server SharePoint vulnerabili da Internet.
A seguito di continue segnalazioni di sfruttamento, Microsoft ha rilasciato patch sia per CVE-2025-53770 sia per una falla scoperta di recente, CVE-2025-53771, per proteggere i sistemi vulnerabili.
L’avvertimento della CISA
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso che conferma lo sfruttamento attivo della vulnerabilità CVE-2025-53770. Questa vulnerabilità consente agli aggressori di eseguire codice remoto non autenticato sulla rete, rappresentando una grave minaccia per qualsiasi ambiente SharePoint non aggiornato.
