Un attacco informatico di scala globale ha preso di mira agenzie governative e aziende in almeno tre continenti, sfruttando una pericolosa falla nei server Microsoft SharePoint installati localmente. A riportare la notizia è stato il Washington Post, citando alcuni ricercatori informati. Il vettore dell'intrusione è una vulnerabilità nota come ToolShell, un difetto critico (contrassegnato dal codice CVE-2025-53770) che consente l'esecuzione di codice remoto da parte di utenti non autenticati. Questo tipo di attacco, definito “zero-day” perché sfrutta una debolezza sconosciuta al momento del colpo, ha compromesso almeno 85 server appartenenti a 29 organizzazioni, alcune governative altre private. Microsoft ha rilasciato una patch solo per alcune versioni del software, mentre altre restano vulnerabili. Le indagini, coordinate dalle agenzie di sicurezza informatica di Stati Uniti, Canada e Australia, sono ancora in corso. Nel frattempo, è stata avviata una corsa contro il tempo per mitigare i danni e prevenire ulteriori intrusioni.
ToolShell: la vulnerabilità che ha dato inizio a tutto
Il cuore del problema risiede in Microsoft SharePoint Server, una piattaforma che consente alle organizzazioni di gestire, archiviare e condividere documenti internamente. La falla sfruttata, classificata con un punteggio di gravità CVSS (Common Vulnerability Scoring System) pari a 9.8 su 10, consente a un utente esterno di eseguire comandi all'interno del sistema prima ancora che avvenga qualsiasi tipo di autenticazione. Questo è possibile a causa di un processo chiamato deserializzazione non sicura, in cui dati esterni, non verificati, vengono interpretati e trasformati in oggetti software. In questo caso, l'endpoint vulnerabile è stato individuato in “ToolPane.aspx”, da cui il nome ToolShell all'intera campagna.
Una volta ottenuto l'accesso, gli aggressori hanno caricato un payload (cioè un piccolo programma malevolo) tramite PowerShell – uno strumento di automazione molto usato dagli amministratori di sistema – per sottrarre informazioni critiche dal server, tra cui le MachineKey, ovvero le chiavi usate per firmare e decifrare i dati interni al server SharePoint. In particolare, queste chiavi permettono di manipolare il meccanismo chiamato VIEWSTATE, un sistema che memorizza lo “stato” della pagina Web tra una richiesta e l'altra. Con queste chiavi, gli hacker sono in grado di creare richieste apparentemente legittime che il sistema accetta come autentiche, eseguendo così codice arbitrario senza restrizioni.
L'Agenzia per la cybersicurezza nazionale, in una nota ufficiale, spiega:
L'attacco, che non richiede autenticazione, viene condotto tramite richieste HTTP di tipo POST opportunamente predisposte verso la risorsa. […] Tale risorsa utilizza un campo nascosto chiamato __VIEWSTATE, utilizzato per mantenere lo stato della pagina tra le varie richieste HTTP mediante la serializzazione di oggetti .NET. Qualora tali dati non siano adeguatamente firmati o validati, un attaccante può sottomettere un payload malevolo che, una volta deserializzato dal server, consente l'esecuzione di codice arbitrario sul sistema interessato.
Quanto è grave la situazione
I ricercatori di cybersecurity della società Eye Security, hanno evidenziato quanto la situazione sia grave, stilando un rapporto in cui hanno rimarcato i seguenti quattro punti critici.
- Il pericolo non è ipotetico: gli attaccanti sono in grado di eseguire comandi da remoto sui server colpiti, eludendo misure di sicurezza come l'autenticazione a più fattori o MFA (Multi-Factor Authentication) e il cosiddetto SSO (Single Sign-On). Una volta ottenuto l'accesso, possono visualizzare e modificare contenuti interni, file di sistema e impostazioni di SharePoint, oltre a propagarsi all'interno della rete Windows, compromettendo altri sistemi collegati.
- Un aspetto ancora più critico riguarda il furto delle chiavi crittografiche utilizzate dal server. Questi elementi permettono ai cybercriminali di simulare l'identità di utenti o servizi legittimi, anche se il sistema è stato aggiornato con una patch. Per questo motivo, applicare l'aggiornamento di sicurezza non è sufficiente: è necessario sostituire (ruotare) tutte le chiavi criptografiche per impedire che eventuali token o accessi generati dagli aggressori rimangano validi.
- In alcuni casi, gli attori malevoli possono persistere nel sistema inserendo porte di accesso nascoste (backdoor) o modificando componenti del software in modo che resistano anche a riavvii o aggiornamenti. Di fronte a qualsiasi sospetto di compromissione, è quindi fondamentale rivolgersi a professionisti specializzati nella gestione di incidenti di sicurezza.
- Poiché SharePoint è spesso integrato con altri servizi centrali come Outlook, Teams e OneDrive, una violazione può facilmente estendersi, facilitando il furto di dati sensibili, delle credenziali di accesso e consentendo agli aggressori di spostarsi all'interno dell'intera rete aziendale.
Come affrontare la situazione e difendersi dall'attacco hacker
Attualmente, Microsoft ha rilasciato aggiornamenti solo per una parte delle versioni interessate, dichiarando di essere al lavoro su patch aggiuntive. Intanto, agli amministratori di sistema viene consigliato di aggiornare i prodotti vulnerabili (ovvero Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 e Microsoft SharePoint Server 2016) seguendo le indicazioni ufficiali fornite da Microsoft e CISA (Cybersecurity Infrastrutture Security Agency).
L'Agenzia per la cybersicurezza nazionale italiana, inoltre, suggerisce di fare anche quanto segue:
Monitorare e bloccare richieste POST verso ToolPane.aspx contenenti valori anomali nel campo __VIEWSTATE;verificare che il meccanismo di sicurezza AMSI (Antimalware Scan Interface) sia attivo;procedere con la rotazione delle machine keys di ASP.NET.
;Resize,width=270;)
;Resize,width=767;)
;Resize,width=712;)
;Resize,width=270;)
;Resize,width=270;)
;Resize,width=270;)
