CVE-2025-53770: Un exploit critico 9.8/10 che ha come obiettivo SharePoint

23 luglio 2025

Responsabile della ricerca sulle minacce informatiche

CVE-2025-53770: Un exploit critico 9.8/10 che ha come obiettivo SharePoint

Durante lo scorso fine settimana, un'ondata su larga scala di attacchi non autenticati di esecuzione di codice remoto (RCE), noti come ToolShell, ha iniziato a colpire i server Microsoft SharePoint on-premises in tutto il mondo. Si tratta di una campagna reale e in rapida evoluzione che sfrutta due vulnerabilità recentemente divulgate: CVE-2025-53770 e CVE-2025-53771.

Queste falle sfruttano un bug di deserializzazione in ASP.NET, consentendo agli aggressori di accedere completamente in remoto ai server SharePoint senza richiedere credenziali o l'interazione dell'utente.

Nessun nome utente. Niente phishing. Nessun malware. Solo una singola richiesta HTTP inviata a un endpoint SharePoint esposto.

Ecco cosa devono capire i team di sicurezza e come la Vectra AI Platform può aiutare a fermare questi attacchi prima che si diffondano.

Cosa succede: Le 3 cose più importanti da sapere

1. Lo sfruttamento è attivo e continuo

Gli aggressori utilizzano una catena di exploit chiamata ToolShell per compromettere i server SharePoint 2016, 2019 e Subscription Edition in sede. La catena combina due falle che consentono l'esecuzione di codice remoto senza autenticazione. L'ingresso iniziale richiede solo una richiesta POST artigianale.

In breve: gli hacker possono compromettere completamente il vostro server SharePoint senza effettuare il login. E lo stanno già facendo.

2. L'exploit fornisce un accesso furtivo e a lungo termine

Una volta entrati, gli aggressori caricano una piccola webshell (spinstall0.aspx) per estrarre le chiavi crittografiche del server: ValidationKey e DecryptionKey. Con queste, possono falsificare i token di fiducia (__VIEWSTATE) ed eseguire comandi in continuazione, anche se si cambiano le password o si applica una patch in seguito.

In breve: una volta entrati, gli aggressori possono creare un accesso fidato in modo da poter entrare e uscire senza essere scoperti, anche dopo aver pensato di aver risolto il problema.

3. La campagna è globale e in accelerazione

Eye Security e altri ricercatori hanno confermato una scansione di massa e una compromissione diffusa. Oltre 85 organizzazioni sono già state colpite. Circolano strumenti pubblici ed elenchi di IP, con oltre 9.300 server SharePoint identificati come esposti a Internet.

In breve: gli strumenti per sfruttarlo sono pubblici, gli obiettivi sono noti e il vostro server SharePoint potrebbe essere il prossimo.

Perché gli attaccanti amano CVE-2025-53770

Non è richiesto alcun login: L'attacco funziona senza credenziali o phishing.
Controllo completo del server: Accesso completo ai dati di SharePoint, ai file di sistema e alle configurazioni.
Potenziale di movimento laterale: Pivot su Exchange, OneDrive, Teams e Active Directory.
Furto di chiavi crittografiche: Le MachineKey rubate consentono un accesso backdoor a lungo termine.
Difficile da rilevare: L'exploit imita il traffico e le attività legittime di SharePoint.

Anatomia dell'exploit ToolShell

Richiesta HTTP dannosa Passo 1

L'attaccante invia un POST modificato a /_layouts/15/ToolPane.aspx con una forgiatura Referente: /SignOut.aspx.
Bypass dell'autenticazione Passo 2

Il server ignora la corretta convalida del referer, consentendo l'accesso non autenticato alla funzionalità di upload.
Webshell caricata Passo 3

Un'azione furtiva spinstall0.aspx è stato abbandonato, progettato per scaricare chiavi crittografiche, non per aprire una shell interattiva.
Rubare le chiavi della macchina Passo 4

La webshell invoca gli interni di .NET per estrarre Chiave di convalida e Chiave di decrittazione a memoria.
Creazione dei gettoni ViewState Passo 5

L'attaccante utilizza chiavi rubate con ysoserial per generare un codice valido e firmato __VIEWSTATE carichi utili.
Esecuzione di codice remoto Passo 6

Il payload dannoso consegnato a qualsiasi pagina (ad es, successo.aspx), eseguendo i comandi in modo silenzioso.
Persistenza e movimento laterale Passo 7

Vengono installate backdoor, i servizi vengono scansionati e l'attaccante si sposta lateralmente nel dominio.

Che cosa possono fare gli aggressori dopo aver sfruttato CVE-2025-53770 e CVE-2025-53771?

Lo sfruttamento di ToolShell non è la fine dell'attacco. È l'inizio di una compromissione più profonda. Una volta violato un server, gli aggressori possono:

1. Falsificare i gettoni di fiducia

Con i MachineKey rubati, gli aggressori generano payload __VIEWSTATE validi per eseguire comandi dannosi in modo ripetuto e silenzioso.

In breve: creano attività false e affidabili che eludono i normali controlli.

2. Stabilire backdoor

Spesso distribuiscono webshell aggiuntive, alterano i componenti di SharePoint o modificano le configurazioni per mantenere la persistenza attraverso riavvii e patch.

In breve: nascondono il loro accesso in modo che anche le pulizie future non possano rimuoverli.

3. Muoversi lateralmente nell'ambiente

Gli aggressori utilizzano credenziali e token compromessi per accedere ad altri sistemi e aumentare i privilegi attraverso la rete. Possono muoversi lateralmente attraverso il data center, la rete del campus, la forza lavoro remota, l'infrastruttura di identità, i servizi cloud e persino i sistemi IoT/OT. Da qui, spesso prendono di mira i servizi Microsoft 365 (Office, Teams, OneDrive e Outlook) per rubare documenti, comunicazioni, credenziali e altri dati di alto valore.

In breve: utilizzano SharePoint come piattaforma di lancio per compromettere l'intero ambiente.

4. Abuso di Microsoft Copilot per la ricognizione

Se Copilot for SharePoint è abilitato, gli aggressori possono utilizzarlo per riassumere i documenti, estrarre contenuti sensibili e mappare le strutture interne utilizzando il prompt engineering.

In breve: utilizzano i vostri strumenti di intelligenza artificiale per trovare ciò che conta di più, più velocemente.

5. Rubare o chiedere un riscatto per i dati

Con l'accesso completo ai contenuti di SharePoint, alle e-mail e ai documenti interni, gli aggressori possono esfiltrare informazioni sensibili o distribuire ransomware.

In breve: trasformano i vostri dati in leva e profitto.

Come aiuta Vectra AI

Gli attacchi come ToolShell non si basano su credenziali rubate, malware o interazione con l'utente. Sfruttano le falle logiche delle applicazioni affidabili, aggirando identità, endpoint e perimetro. Ed è per questo che la maggior parte delle difese tradizionali non li vede arrivare.

Vectra AI fornisce già una copertura di rilevamento sia per la catena di exploit ToolShell originale (CVE-2025-49704) che per la sua variante più recente, CVE-2025-53771 per i clienti che utilizzano Vectra Match con un'adeguata visibilità dei sensori. Questi rilevamenti identificano i tentativi di sfruttamento in base alla logica di deserializzazione condivisa e all'abuso dell endpoint utilizzato nella catena di attacco. Il nostro team di ingegneri sta espandendo attivamente la copertura per ulteriori varianti di exploit, tra cui CVE-2025-53770, assicurando che la protezione si evolva di pari passo con le minacce.

Oltre al rilevamento, la Vectra AI Platform consente al vostro SOC di indagare con velocità e precisione. Mette in relazione i comportamenti degli aggressori tra SharePoint, i sistemi di identità e i servizi cloud , evidenziando tutto ciò che va dall'implementazione di webshell all'esecuzione di PowerShell e al movimento laterale.

In combinazione con le integrazioni con il vostro stack SIEM, SOAR e EDR, Vectra AI supporta una risposta rapida e sicura prima che gli aggressori possano intensificarsi.

Pronti per la prossima variante?

Che gli aggressori modifichino il Referer, cambino il nome del file o passino a un nuovo zero-day, l'approccio di Vectra AInon si basa su IOC o firme statiche. Utilizza modelli di apprendimento automatico costruiti per rilevare l'abuso di protocolli, comportamenti e privilegi, indipendentemente dal modo in cui sono confezionati.

Vectra AI non vede solo la violazione. Vi aiuta a comprenderla, a contenerla e ad anticipare il futuro.

Se gestite SharePoint on-premises, non potete permettervi di affidarvi solo agli strumenti perimetrali.

Vectra AI colma il divario di visibilità dove altri non riescono:

Guardate una demo autoguidata per vedere come Vectra rileva e blocca attacchi come ToolShell prima che si trasformino in vere e proprie violazioni.
Leggeteil commento del nostro vicepresidente di prodotto Mark Wojtasiak sul motivo per cui Vectra AI è al primo posto nel Magic Quadrant™ Gartner® 2025 per il rilevamento e la risposta di rete (NDR).
‍Per sapernedi più sul perché Vectra AI è un leader e un superatore nel 2025 GigaOm Radar Report for Identity Threat Detection and Response (ITDR)
Colmare lelacune di rilevamento, indagine e risposta alle minacce di Microsoft con Vectra AI

Volete saperne di più?

Vectra AI è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidato dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci