Lo scorso fine settimana, un'ondata su larga scala di attacchi di esecuzione di codice remoto non autenticato (RCE), noti come ToolShell, ha iniziato a prendere di mira i server Microsoft SharePoint locali in tutto il mondo. Si tratta di una campagna reale e in rapida evoluzione che sfrutta due vulnerabilità recentemente divulgate: CVE-2025-53770 e CVE-2025-53771.
Questi difetti sfruttano un bug di deserializzazione in ASP.NET, consentendo agli aggressori di ottenere l'accesso remoto completo ai server SharePoint senza richiedere credenziali o interazione da parte dell'utente.
Nessun nome utente. Nessun phishing. Nessun malware. Solo una singola richiesta HTTP inviata a un endpoint SharePoint esposto.
Ecco cosa devono comprendere i team di sicurezza e come la Vectra AI può aiutare a fermare questi attacchi prima che si diffondano.
Cosa sta succedendo: le 3 cose più importanti da sapere
1. Lo sfruttamento è attivo e continuo
Gli aggressori stanno utilizzando una catena di exploit chiamata ToolShell per compromettere i server SharePoint 2016, 2019 e Subscription Edition on-premise. La catena combina due vulnerabilità che consentono l'esecuzione di codice remoto senza autenticazione. L'accesso iniziale richiede solo una richiesta POST appositamente creata.
In breve: gli hacker possono compromettere completamente il tuo server SharePoint senza effettuare il login. E lo stanno già facendo.
2. L'exploit fornisce un accesso furtivo e a lungo termine
Una volta entrati, gli aggressori caricano una piccola webshell (spinstall0.aspx) per estrarre le chiavi crittografiche del server: ValidationKey e DecryptionKey. Con queste, possono falsificare token affidabili (__VIEWSTATE) ed eseguire comandi più e più volte, anche se in seguito si modificano le password o si applicano patch.
In breve: una volta entrati, gli aggressori possono creare un accesso affidabile in modo da poter entrare e uscire senza essere rilevati, anche dopo che pensi di aver risolto il problema.
3. La campagna è globale e sta accelerando
Eye Security e altri ricercatori hanno confermato la scansione di massa e la compromissione diffusa. Oltre 85 organizzazioni sono già state colpite. Sono in circolazione strumenti pubblici ed elenchi di indirizzi IP, con oltre 9.300 server SharePoint identificati come esposti a Internet.
In breve: gli strumenti per sfruttare questa vulnerabilità sono pubblici, gli obiettivi sono noti e il tuo server SharePoint potrebbe essere il prossimo.
Perché gli hacker amano CVE-2025-53770
- Non è richiesto alcun login: l'attacco funziona senza credenziali o phishing.
- Controllo completo del server: accesso completo ai dati SharePoint, ai file di sistema e alle configurazioni.
- Potenziale di movimento laterale: passaggio a Exchange, OneDrive, Teams e Active Directory.
- Furto di chiavi crittografiche: le MachineKey rubate consentono un accesso backdoor a lungo termine.
- Difficile da rilevare: l'exploit imita il traffico e l'attività legittimi di SharePoint.
Anatomia dell'exploit ToolShell
Cosa possono fare gli aggressori dopo aver sfruttato CVE-2025-53770 e CVE-2025-53771
Lo sfruttamento di ToolShell non è la fine dell'attacco. È l'inizio di una compromissione più profonda. Una volta violato un server, gli aggressori possono:
1. Creare token affidabili
Con le MachineKey rubate, gli aggressori generano payload __VIEWSTATE validi per eseguire comandi dannosi in modo ripetuto e silenzioso.
In breve: creano attività false e affidabili che aggirano i normali controlli.
2. Creare backdoor
Spesso distribuiscono webshell aggiuntive, alterano i componenti SharePoint o modificano le configurazioni per mantenere la persistenza attraverso riavvii e patch.
In breve: nascondono il loro accesso in modo che anche future operazioni di pulizia potrebbero non riuscire a rimuoverli.
3. Muoviti lateralmente nell'ambiente
Gli aggressori utilizzano credenziali e token compromessi per accedere ad altri sistemi e aumentare i propri privilegi all'interno della rete. Possono muoversi lateralmente attraverso il data center, la rete del campus, la forza lavoro remota, l'infrastruttura di identità, cloud e persino i sistemi IoT/OT. Da lì, spesso prendono di mira i servizi Microsoft 365 (Office, Teams, OneDrive e Outlook) per rubare documenti, comunicazioni, credenziali e altri dati di alto valore.
In breve: utilizzano SharePoint come trampolino di lancio per compromettere l'intero ambiente.
4. Abuso di Microsoft Copilot per la ricognizione
Se Copilot per SharePoint è abilitato, gli aggressori possono utilizzarlo per riassumere documenti, estrarre contenuti sensibili e mappare strutture interne utilizzando il prompt engineering.
In breve: utilizzano i tuoi strumenti di intelligenza artificiale per trovare più rapidamente ciò che conta di più.
5. Rubare o chiedere un riscatto per i dati
Con pieno accesso ai contenuti di SharePoint, alle e-mail e ai documenti interni, gli aggressori possono sottrarre informazioni sensibili o distribuire ransomware.
In breve: trasformano i tuoi dati in leva finanziaria e profitto.
Come Vectra AI
Gli attacchi come ToolShell non si basano su credenziali rubate, malware o interazione dell'utente. Sfruttano difetti logici in applicazioni affidabili, aggirando l'identità, endpoint e il perimetro in modo mirato. Ed è per questo che la maggior parte delle difese tradizionali non riesce mai a individuarli.
Vectra AI fornisce già una copertura di rilevamento sia per la catena di exploit ToolShell originale (CVE-2025-49704) che per la sua variante più recente, CVE-2025-53771, ai clienti che utilizzano Vectra Match un'adeguata visibilità dei sensori. Questi rilevamenti identificano i tentativi di sfruttamento sulla base della logica di deserializzazione condivisa e endpoint utilizzati nella catena di attacco. Il nostro team di ingegneri sta attivamente espandendo la copertura per ulteriori varianti di exploit, tra cui CVE-2025-53770, garantendo che la protezione si evolva di pari passo con la minaccia.
Oltre alla rilevazione, la Vectra AI consente al SOC di indagare con rapidità e precisione. Correlando i comportamenti degli aggressori su SharePoint, sistemi di identità e cloud , evidenzia ogni aspetto, dall'implementazione di webshell all'esecuzione di PowerShell e ai movimenti laterali.
In combinazione con le integrazioni con il tuo stack SIEM, SOAR ed EDR, Vectra AI una risposta rapida e sicura prima che gli aggressori possano intensificare i loro attacchi.
Pronti per la prossima variante?
Che gli aggressori modifichino il Referer, cambino il nome del file o passino a un nuovo zero-day, l'approccio Vectra AInon si basa su IOC o firme statiche. Utilizza modelli di machine learning creati per rilevare l'abuso di protocolli, comportamenti e privilegi, indipendentemente da come sono confezionati.
Vectra AI rilevare la violazione. Ti aiuta a comprenderla, a contenerla e a anticipare ciò che accadrà in seguito.
Se utilizzi SharePoint in locale, non puoi permetterti di affidarti esclusivamente a strumenti perimetrali.
Vectra AI il divario di visibilità dove altri falliscono:
- Guarda una demo autoguidata per scoprire come Vectra rileva e blocca attacchi come ToolShell prima che si trasformino in violazioni vere e proprie.
- Leggi il parere del nostro vicepresidente del reparto Prodotti, Mark Wojtasiak, sul motivo per cui Vectra AI di rilievo nel Magic Quadrant™ 2025 di Gartner® per il rilevamento e la risposta di rete (NDR).
- Scopri perché Vectra AI leader e supera le prestazioni nel rapporto GigaOm Radar 2025 per il rilevamento e la risposta alle minacce all'identità (ITDR).
- Colmare le lacune di Microsoft in materia di rilevamento, indagine e risposta alle minacce con Vectra AI