
Avviso critico sulla sicurezza informatica: exploit che prendono di mira i server SharePoint locali
Lo scorso fine settimana, diverse agenzie di sicurezza informatica hanno svelato una serie di attacchi informatici in corso che prendono di mira specificamente gli ambienti SharePoint Server on-premise, sfruttando vulnerabilità non ancora affrontate. In particolare, la vulnerabilità CVE-2025-53770, comunemente nota come ToolShell, consente l’accesso non autorizzato ai server SharePoint.
La risposta di Microsoft alle minacce attive
Microsoft è a conoscenza di questi exploit attivi e ha confermato che sono state implementate mitigazioni parziali nell’aggiornamento di sicurezza di luglio.È importante sottolineare che queste vulnerabilità interessano esclusivamente le installazioni di SharePoint Server locali e i clienti che utilizzano SharePoint Online tramite Microsoft 365 non ne sono interessati.
Accesso agli aggiornamenti di sicurezza
Le organizzazioni possono ottenere l’aggiornamento di sicurezza di luglio pertinente per i propri sistemi tramite i seguenti link:
- Edizione in abbonamento di Microsoft SharePoint Server – KB5002768
- Microsoft SharePoint Server 2019 – KB5002754
Strategie di mitigazione consigliate
Mentre è in lavorazione una correzione completa, si consiglia agli utenti di adottare le seguenti misure preventive:
- Utilizzare le versioni supportate di SharePoint Server locale.
- Installa tutti gli aggiornamenti di sicurezza disponibili, concentrandoti sull’aggiornamento di sicurezza di luglio 2025.
- Attivare e configurare correttamente l’interfaccia di scansione antimalware (AMSI), assicurandosi che sia in uso una soluzione antivirus compatibile, come Microsoft Defender Antivirus.
- Implementare Microsoft Defender per la protezione degli endpoint o una soluzione di rilevamento delle minacce per gli endpoint comparabile.
- Ruotare regolarmente le chiavi macchina ASP. NET per SharePoint Server.
Rilevamento e identificazione delle minacce
Microsoft Defender Antivirus è in grado di identificare se un server è stato interessato da questa falla di sicurezza. I sistemi interessati possono essere contrassegnati con i seguenti nomi di rilevamento:
- Exploit:Script/SuspSignoutReq. A
- Trojan:Win32/HijackSharePointServer. A
Risultati della ricerca e invito urgente all’azione
“La nostra analisi ha comportato la scansione di oltre 8.000 server SharePoint in tutto il mondo, scoprendo diversi casi di compromissioni attive, in particolare intorno alle 18:00 UTC del 18 luglio e alle 07:30 UTC del 19 luglio”, ha affermato la società di ricerca sulla sicurezza informatica Eye.
Data la natura critica di questa vulnerabilità, è fondamentale che tutti gli amministratori di SharePoint locale implementino gli ultimi aggiornamenti di sicurezza e aderiscano rigorosamente e senza indugio alle strategie di mitigazione consigliate.
Lascia un commento