Grave attacco a Microsoft SharePoint: ecco cosa è successo, rischi reali e come proteggere la propria azienda
Introduzione
Nel luglio 2025, un attacco su larga scala ha colpito Microsoft SharePoint, una delle piattaforme collaborative più diffuse nelle organizzazioni pubbliche e private. Oltre 100 organizzazioni a livello globale e più di 8.000 server SharePoint on-premises sono stati compromessi attraverso una sofisticata catena di vulnerabilità zero-day, denominata ToolShell. L’attacco ha suscitato grande allarme tra addetti ai lavori e responsabili IT, mettendo ben in evidenza come i cyber criminali siano sempre pronti a sfruttare falle sconosciute, ancor prima che i produttori stessi ne siano a conoscenza.
Questo articolo spiega in dettaglio cosa sia successo, quali siano i rischi concreti, chi è a rischio, come sono state compromesse le infrastrutture, e offre consigli pratici per rafforzare la sicurezza e mitigare l’esposizione a queste e future minacce.
Cos’è successo: la catena di attacco ToolShell e le vulnerabilità zero-day
La catena di attacco si è basata inizialmente sull’utilizzo di due vulnerabilità (CVE-2025-49706 e CVE-2025-49704) combinate per ottenere Remote Code Execution su server SharePoint on-premises. Queste falle sono diventate pubbliche in occasione della competizione Pwn2Own nel maggio 2025, raffinando le tecniche già note ai gruppi criminali avanzati.
Nonostante Microsoft abbia rilasciato rapidamente delle patch a luglio 2025, gli aggressori hanno dimostrato la capacità di eludere le patch grazie a due nuove vulnerabilità, CVE-2025-53770 (gravità 9,8 su 10 secondo CVSS) e CVE-2025-53771 (6,3 su 10). Questo ha permesso agli attaccanti di continuare indisturbati a compromettere i sistemi che ritenevano già aggiornati, scavalcando di fatto le prime difese.
L’attacco ha principalmente riguardato i server internamente gestiti (on-premises), mentre le versioni cloud, come SharePoint Online su Microsoft 365, non risultano impattate.
Tecniche degli aggressori: dal furto delle credenziali alla diffusione di web shell
Una volta individuato un server SharePoint vulnerabile, gli attaccanti utilizzano una richiesta POST opportunamente confezionata diretta ad endpoint specifici (come ToolPane). Superato il controllo di autenticazione tramite l’exploit, viene caricato un file dal nome tipico come spinstall0.aspx (ma anche varianti), che rappresenta una web shell, ovvero uno script malevolo che concede il controllo remoto del server all’aggressore.
Questa shell consente:
- Furto delle chiavi MachineKey ASP.NET, necessarie per firmare e decifrare cookie e sessioni, di fatto consentendo il movimento laterale nella rete corporate;
- Esecuzione di comandi arbitrari via web;
- Scaricamento ed esecuzione di malware aggiuntivo (ransomware, trojan).
La presenza di questi file può essere individuata congiuntamente tramite query di hunting e strumenti EDR, come Microsoft Defender for Endpoint.
Contesto e impatto: chi è stato colpito e quali sono i rischi
Secondo analisi pubbliche, sono state compromesse circa 100 organizzazioni in tutto il mondo, con un impatto particolarmente grave nel settore pubblico e in ambiti strategici come sanità, enti governativi ed energia. In particolare sono a rischio tutte quelle imprese che:
- Utilizzano SharePoint on-premises (edizione 2016, 2019 o Subscription Edition) senza aver applicato tutte le patch di sicurezza;
- Non hanno una soluzione EDR aggiornata;
- Presentano policy di sicurezza deboli o credenziali di accesso facilmente compromettibili.
I rischi principali derivano da:
- Furto di dati sensibili archiviati o gestiti su SharePoint;
- Compromissione dell’integrità dei dati aziendali;
- Uso della rete interna come punto d’appoggio per attacchi più ampi (ransomware, sabotaggi, ricatti digitali).
Le risposte di Microsoft e le patch di sicurezza
Microsoft ha rapidamente pubblicato nuove security update cumulative a copertura completa delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, raccomandando con urgenza l’applicazione immediata di questi aggiornamenti da parte di tutti i clienti SharePoint on-premises.
Per ogni tipologia di prodotto (SharePoint Server Subscription Edition, 2016, 2019), sono disponibili aggiornamenti scaricabili direttamente dal sito ufficiale. Importantissimo: aggiornare solo alle ultime versioni cumulative, che includono tutte le patch prioritarie senza necessità di installare aggiornamenti precedenti.
Cosa fare: suggerimenti pratici per la protezione
Di seguito una checklist di consigli fondamentali per amministratori IT, DPO e responsabili sicurezza:
- Aggiornare immediatamente i server con le patch cumulative Microsoft più recenti, anche se credi di essere già protetto;
- Utilizzare sempre versioni supportate di SharePoint on-premises: le versioni EOL non ricevono aggiornamenti critici;
- Abilitare e configurare Microsoft Defender for Endpoint (o una soluzione EDR equivalente) per rilevare exploit e attività anomale;
- Attivare AMSI (Antimalware Scan Interface) e garantirsi la presenza di un antivirus aggiornato sui server;
- Ruotare le MachineKey ASP.NET di SharePoint dopo ogni incidente, per azzerare la validità di eventuali chiavi compromise;
- Verificare la presenza di web shell sospette tramite i log dei file e le query di hunting raccomandate da Microsoft;
- Monitorare attentamente i log di sicurezza degli accessi e delle attività amministrative;
- Segmentare la rete per limitare la possibilità che un attacco a SharePoint si propaghi lateralmente;
- Adottare una politica efficace di backup offline e testare la capacità di restore periodicamente;
- Formare regolarmente il personale su phishing e social engineering, spesso porte di ingresso dei cyber criminali.
Prevenzione a lungo termine e consapevolezza
Gli attacchi come quello descritto evidenziano che oggi la sicurezza informatica non può essere passiva. I criminali informatici sono organizzati, motivati e spesso meglio equipaggiati di molte imprese, soprattutto nelle PMI e nella pubblica amministrazione.
- Mantenere un piano di gestione delle patch centralizzato e tempestivo è imprescindibile.
- Valutare il passaggio a piattaforme cloud (come SharePoint Online) gestite da fornitori che garantiscono aggiornamenti e sicurezza continua può ridurre sensibilmente la superficie di attacco.
- Collaborare con i team di sicurezza per simulare periodicamente attacchi (penetration test) e individuare eventuali falle processuali o tecniche.
- Investire nella formazione avanzata dei team IT, per insegnare non solo il patching ma anche tecniche di detection & response.
- Rivedere i processi di identity management, abilitando MFA obbligatorio anche per gli amministratori di SharePoint on-premises.
Conclusione
L’attacco a SharePoint del 2025 mostra come la superficie d’attacco non sia mai davvero ridotta a zero, neanche affidandosi a piattaforme di grandi vendor globali. È necessario adottare un mindset proattivo, applicare tempestivamente le patch, investire nella formazione di chi gestisce i sistemi e porsi nell’ottica che la domanda non sia se ma quando un attacco potrà colpire l’organizzazione.
Solo così è possibile ridurre impatto, tempo di risposta e possibilità di compromissione reale. La sicurezza, oggi, è un processo continuo e trasversale all’azienda.
Riepilogo punti chiave:
- 100 organizzazioni e oltre 8.000 server compromessi;
- Vulnerabilità zero-day ToolShell sfruttate da attori avanzati anche dopo le prime patch;
- Severi rischi per chi usa SharePoint on-premises non aggiornato;
- Soluzioni: patch, EDR, cambi di chiavi, monitoraggio, backup e formazione;
- Collaborazione tra IT, sicurezza e direzioni aziendali indispensabile per mitigare l’impatto futuro.
