Lo sfruttamento attivo di due vulnerabilità critiche nelle versioni on-premise di SharePoint SE, 2016 e 2019 ha costretto Microsoft a pubblicare una patch di emergenza per SharePoint al di fuori del consueto appuntamento con il Patch Tuesday. L’urgenza nella realizzazione e nell’installazione delle correzioni è dovuta al fatto che gruppi di cybercriminali stanno già sfruttando la falla per condurre attacchi di massa.

La vulnerabilità principale è quella monitorata con la sigla CVE-2025-53770 e riguarda la deserializzazione di dati non affidabili. La sua scoperta risale al Pwn2Own tenutosi a Berlino lo scorso maggio, quando i ricercatori di sicurezza dimostrarono una catena di exploit soprannominata “ToolShell”, che portava all’esecuzione di codice da remoto. Per scongiurare attacchi, Microsoft ha pubblicato la correzione nel Patch Tuesday di luglio e l’allarme sembrava rientrato. Invece, un’ondata globale di attacchi ha fatto comprendere che le misure correttive non erano sufficienti: le fonti ufficiali riferiscono di decine di organizzazioni governative e aziende di tutto il mondo colpite da attacchi basati su questa falla.

Quella di cui stiamo parlando è una vulnerabilità di tipo RCE a cui è stato assegnato un punteggio CVSS di 9.8, pertanto classificata come critica. Il principale obiettivo degli attaccanti è la generazione del file spinstall0.aspx nella directory interna dei layout di SharePoint, che è un elemento chiave per l’estrazione delle chiavi crittografiche. Con un attacco ben orchestrato l’attaccante può ottenere le machine key ASP.NET del server, utilizzabili per firmare payload malevoli e mantenere la persistenza. Non è necessario alcun tipo di autenticazione o interazione dell’utente per realizzare l’attacco: è sufficiente che il server sia vulnerabile e raggiungibile via Internet.

Nell’ambito dello stesso attacco, i cyber criminali possono anche agevolarsi i movimenti laterali e l’accesso a dati sensibili se concatenano nell’attacco lo sfruttamento di una seconda falla minore. Si tratta della CVE-2025-53771 classificata di gravità media (punteggio CVSS di 6.3), che tecnicamente è un bug di spoofing in SharePoint: permette attacchi di tipo path traversal a utenti già autenticati, facilitando spoofing e movimenti interni alla rete vittima.

Aggiornare, aggiornare, aggiornare

Entrambe le falle colpiscono esclusivamente SharePoint Server on-premises (2016, 2019, Subscription Edition). SharePoint Online, parte della suite Microsoft 365, non risulta affetto.

Le potenziali vittime sono tutte le aziende che utilizzano una delle versioni di SharePoint Server a rischio nelle versioni on-premises, compresi enti pubblici e aziende di qualsiasi dimensione. Fra i rischi ci sono la compromissione totale del sistema, il furto di dati, l’accesso persistente e la possibilità da parte degli attaccanti di attuare movimenti laterali all’interno delle reti.

Come sottolineato in apertura, sono già disponibili gli aggiornamenti di sicurezza out-of-band per SharePoint Server Subscription Edition (KB5002768) e SharePoint Server 2019 (KB5002754). Al momento in cui scriviamo la patch per la versione 2016 è ancora in preparazione. Dopo aver installato l’aggiornamento, Microsoft raccomanda vivamente di sostituire o rigenerare le chiavi crittografiche usate dal server ASP.NET e di riavviare il servizio IIS su tutti i server. È fondamentale anche verificare la presenza di file sospetti (spinstall0.aspx) e controllare i log IIS per richieste anomale.

Dato che la vulnerabilità è già attivamente sfruttata in campagne massive e risultano numerosi casi accertati di compromissione, gli esperti esortano a muoversi con la massima tempestività.