Avviso di minaccia alla sicurezza informatica: vulnerabilità zero-day di Microsoft SharePoint

Gli attaccanti stanno attivamente sfruttando CVE-2025-53770, una vulnerabilità zero-day critica in Microsoft SharePoint, per eseguire codice remoto senza autenticazione. Questo difetto consente agli attaccanti di distribuire malware persistente e potenzialmente esfiltrare dati sensibili da ambienti on-premise non aggiornati. Rivedere i dettagli completi in questo Cybersecurity Threat Advisory per aiutare a prevenire lo sfruttamento nel proprio ambiente.

Qual è la minaccia?

CVE-2025-53770 è una nuova vulnerabilità zero-day scoperta che interessa i server Microsoft SharePoint on-premises, ampiamente utilizzati per la collaborazione interna e la condivisione di file. Questo difetto è classificato come una vulnerabilità RCE, consentendo agli attaccanti di eseguire codice dannoso sui server interessati — senza necessità di autenticazione o accesso speciale.

I server SharePoint spesso diventano vulnerabili a causa di patch mancanti, configurazioni errate critiche o servizi esposti rivolti a Internet. Come zero-day, questo exploit è stato attivamente utilizzato in natura prima che Microsoft rilasciasse una correzione, lasciando molti sistemi temporaneamente esposti.

Gli attaccanti sfruttano il difetto inviando richieste HTTP appositamente create ai server vulnerabili, inducendoli a eseguire codice arbitrario. Questo può portare all'installazione di backdoor, esfiltrazione di dati o movimento laterale attraverso la rete.

Gli indicatori di compromissione includono:

• Una web shell spinstall0.aspx dannosa nella directory Layouts di SharePoint
• Richieste POST insolite a ToolPane.aspx
• Processi di lavoro IIS (w3wp.exe) che generano processi PowerShell o cmd
• Utilizzo elevato della CPU
• Traffico di rete in uscita sospetto

Perché è degno di nota?

Questa vulnerabilità è attivamente sfruttata in una campagna di cyber spionaggio globale, che colpisce oltre 100 organizzazioni. Dopo un exploit riuscito, gli attaccanti possono rubare chiavi crittografiche, ottenere accesso persistente e bypassare i controlli di sicurezza tradizionali, il tutto senza essere rilevati.

Sebbene Microsoft abbia rilasciato patch, molte organizzazioni rimangono vulnerabili a causa di ritardi nell'applicazione delle patch o mitigazioni incomplete. Microsoft ha corretto le vulnerabilità correlate — CVE-2025-49706 e CVE-2025-49704 — all'inizio di questo mese. Tuttavia, gli attaccanti hanno già sviluppato soluzioni alternative, evidenziando la velocità e la sofisticazione degli attori delle minacce di oggi.

Anche le organizzazioni che non utilizzano direttamente SharePoint sono a rischio. I server SharePoint compromessi possono fungere da piattaforme di lancio per attacchi alla supply chain, potenzialmente impattando partner, fornitori e clienti, amplificando la minaccia attraverso gli ecosistemi.

Qual è l'esposizione o il rischio?

Se sfruttata, CVE-2025-53770 consente agli attaccanti di ottenere accesso remoto non autorizzato, eseguire codice dannoso, rubare dati sensibili e potenzialmente interrompere operazioni aziendali critiche. Le conseguenze si estendono oltre il compromesso tecnico. Le vittime possono affrontare scrutinio normativo e multe, responsabilità legale, danni al marchio e alla reputazione, tempi di inattività operativa e sforzi di Incident Response e recupero.

Un server SharePoint violato può anche essere sfruttato per ulteriori intrusioni nella rete, aumentando il rischio di ransomware, spionaggio o furto di proprietà intellettuale. Questi effetti a cascata rendono cruciale la rilevazione e la mitigazione rapida.

Quali sono le raccomandazioni?

Barracuda consiglia le seguenti azioni per proteggersi da questa minaccia:

• Applica i seguenti aggiornamenti di emergenza per Microsoft SharePoint:
  • L'aggiornamento KB5002754 per Microsoft SharePoint Server 2019 Core e KB5002753 per il Microsoft SharePoint Server 2019 Language Pack.
  • L'aggiornamento KB5002760 per Microsoft SharePoint Enterprise Server 2016 e KB5002759 per il Language Pack di Microsoft SharePoint Enterprise Server 2016.
  • L'aggiornamento KB5002768 per Microsoft SharePoint Subscription Edition.
• Ruotare le chiavi della macchina SharePoint dopo l'aggiornamento:
  • Manualmente tramite PowerShell: Per aggiornare le chiavi della macchina per un'applicazione web utilizzando PowerShell e distribuirle in una farm di SharePoint:
    • Genera la chiave della macchina in PowerShell utilizzando Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
    • Distribuire la chiave della macchina nella farm in PowerShell utilizzando Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
  • Manualmente tramite Central Admin: Attiva il lavoro timer di Rotazione della Chiave della Macchina eseguendo i seguenti passaggi:
    • Accedere al sito di amministrazione centrale.
    • Vai a Monitoring -> Review job definition.
    • Cerca Machine Key Rotation Job e seleziona Esegui ora.
    • Dopo che la rotazione è stata completata, riavvia IIS su tutti i server SharePoint utilizzando iisreset.exe.
• Analizzare i registri e il file system per la presenza di file dannosi o tentativi di sfruttamento, inclusi
  • Creazione del file C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx.
  • IIS logs che mostrano una richiesta POST a _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx e un referer HTTP di _layouts/SignOut.aspx.
  • Esegui la seguente query di Microsoft 365 Defender per verificare se il file spinstall0.aspx è stato creato sul tuo server.
    • eviceFileEvents
    • dove FolderPath ha “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”
    • | dove FileName =~ "spinstall0.aspx"
    • Sure, please provide the text you want me to translate into Italian.
    • | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
    • | ordina per Timestamp desc
• Limitare l'esposizione a internet dei server SharePoint ove possibile. Utilizzare firewall, VPN o controlli di accesso zero-trust per limitare l'accesso solo a utenti e reti fidate.
• Abilita la registrazione dettagliata e monitora l'attività del server SharePoint per comportamenti insoliti, come caricamenti di file inaspettati o modifiche, e connessioni da indirizzi IP non familiari.
• Isolare i server SharePoint da altri sistemi interni critici per ridurre il rischio di movimento laterale se un hacker ottiene l'accesso.
• Sensibilizzare su questa vulnerabilità e rafforzare le best practice per l'applicazione delle patch e il mantenimento di configurazioni sicure.

Riferimenti

Per informazioni più approfondite sulle raccomandazioni, visitare i seguenti link:

• https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/
• https://www.reuters.com/sustainability/boards-policy-regulation/microsoft-server-hack-hit-about-100-organizations-researchers-say-2025-07-21/
• Protezione dell'e-mailCiao ___NOME_UTENTE___,

  La sicurezza e-mail è fondamentale per proteggere ___PLACEHOLDER_AZIENDA___ dalle minacce e-mail avanzate.

  La nostra soluzione di protezione dell'e-mail offre protezione dal furto d'identità e crittografia delle e-mail per garantire la massima sicurezza.

  Per ulteriori informazioni, visita https://www.cve.org/CVERecord?id=CVE-2025-53770.

  Grazie,Il team di sicurezza Barracuda
• https://www.picussecurity.com/resource/blog/cve-2025-53770-critical-unauthenticated-rce-in-microsoft-sharepoint