Microsoft ha rilasciato un aggiornamento urgente per una falla di sicurezza in SharePoint Server già sfruttata attivamente, segnalando nel frattempo una seconda vulnerabilità correlata; tra le altre cose colpite banche, enti pubblici e università.
Domenica 20 luglio 2025, Microsoft ha pubblicato patch di sicurezza per una pericolosa falla in SharePoint Server on-premises (installato localmente), classificata come CVE-2025-53770 con un punteggio CVSS di 9.8; la vulnerabilità permette l’esecuzione di codice da remoto (RCE) tramite la deserializzazione di dati non affidabili, rappresentando una minaccia concreta per tutti gli ambienti SharePoint esposti alla rete.
In parallelo, è stata resa nota una seconda vulnerabilità, CVE-2025-53771 (CVSS 6.3), relativa a uno spoofing via path traversal. Entrambe le falle sono già state sfruttate in attacchi reali. Microsoft afferma che CVE-2025-53770 è un’estensione di una vulnerabilità precedente (CVE-2025-49706), risolta solo parzialmente nel Patch Tuesday di luglio.
“Siamo a conoscenza di attacchi attivi contro SharePoint Server on-premises tramite vulnerabilità parzialmente risolte con gli aggiornamenti precedenti”, ha dichiarato Microsoft.
Catena di exploit: ToolShell
Le due falle appena corrette si legano a una catena di exploit più ampia nota come ToolShell, che consente l’accesso remoto ai server SharePoint, l’installazione di backdoor persistenti, il furto di chiavi crittografiche e l’esfiltrazione di dati riservati.
Secondo Palo Alto Networks Unit 42, gli attaccanti riescono persino a bypassare MFA e SSO, ottenendo accessi privilegiati.
Obiettivi colpiti: oltre 50 organizzazioni
Secondo il report dell’azienda olandese Eye Security, almeno 54 organizzazioni sono già state compromesse, tra cui banche, università, ospedali e enti governativi. L’attacco sarebbe iniziato intorno al 18 luglio 2025.
Sistemi interessati
Le falle riguardano esclusivamente le versioni on-premise di SharePoint Server. SharePoint Online (Microsoft 365) non è interessato.
Le versioni aggiornate (protette) sono:
- SharePoint Server 2019 (16.0.10417.20027)
- SharePoint Enterprise Server 2016 (16.0.5508.1000)
- SharePoint Server Subscription Edition
- SharePoint Server 2019 Core
- SharePoint Server 2016 (build definitivo TBD)
Cosa fare subito
Microsoft consiglia di:
- Usare versioni supportate di SharePoint Server (2016, 2019, Subscription Edition)
- Applicare immediatamente le patch
- Attivare AMSI (Antimalware Scan Interface) in modalità completa
- Usare antivirus compatibili (es. Microsoft Defender Antivirus)
- Installare Microsoft Defender for Endpoint, o un equivalente
- Ruotare le chiavi macchina ASP.NET
- Riavviare IIS su tutti i server SharePoint
“Se non puoi abilitare AMSI, è fondamentale ruotare le chiavi macchina dopo l’installazione della patch”, precisa Microsoft.
CISA: obbligo per le agenzie federali
Negli Stati Uniti, la CISA ha già inserito CVE-2025-53770 nel proprio catalogo di vulnerabilità note ed esploitabili, imponendo alle agenzie federali l’obbligo di patch entro il 21 luglio 2025.
Soluzione drastica: scollegare SharePoint da Internet
Michael Sikorski, CTO di Unit 42 (Palo Alto Networks), consiglia in casi estremi una contromisura immediata:
“Se usate SharePoint Server on-prem ed è esposto su internet, presumete la compromissione. Il patching non è sufficiente. Disconnettere il server dalla rete può evitare una violazione più ampia.”
Perché è una minaccia sistemica?
SharePoint è profondamente integrato nell’ecosistema Microsoft: Teams, Office, OneDrive e Outlook possono essere coinvolti se l’infezione si propaga. Una singola compromissione può aprire la strada all’intero ambiente aziendale.
E alla fine della fiera?
Ebbene ecco una tabella che spiega riassumendo quali sono i problemi relativi alla casa di Redmond e agli utenti che usano i suoi prodotti.
| Cosa | Dettaglio |
|---|---|
| Falla critica | CVE-2025-53770 (RCE – CVSS 9.8) |
| Falla correlata | CVE-2025-53771 (Spoofing – CVSS 6.3) |
| Riguarda | Solo SharePoint Server on-premises |
| Non colpisce | SharePoint Online (Microsoft 365) |
| Organizzazioni compromesse | Oltre 50, incluse banche e governi |
| Data inizio exploit | Circa 18 luglio 2025 |
| Priorità | Massima – patch immediata, rotazione chiavi, controllo dell’esposizione |
| Soluzione drastica | Disconnessione momentanea da internet |
