Allarme sicurezza per vulnerabilità ToolShell: a rischio i server SharePoint

Nel contesto di una società sempre più interconnessa, la sicurezza informatica si impone come un pilastro fondamentale, a volte persino più rilevante della sicurezza fisica.

La recente escalation di attacchi informatici che sta investendo i server SharePoint a livello globale sottolinea quanto questa affermazione sia oggi più attuale che mai. Nonostante le vulnerabilità CVE-2025-49706 e CVE-2025-49704 fossero considerate risolte, una nuova ondata di attacchi sta sfruttando le lacune lasciate da una prima patch di sicurezza rilasciata da Microsoft che si è rivelata insufficiente.

La gravità della situazione è emersa rapidamente: i cybercriminali hanno perfezionato un set di strumenti avanzati, noti come ToolShell, progettati per introdurre backdoor basate su webshell nei sistemi compromessi. Questa strategia consente agli aggressori di aggirare persino i sistemi di autenticazione a più fattori e le soluzioni di single sign-on, ottenendo così un accesso privilegiato alle risorse più sensibili delle infrastrutture aziendali.

Server SharePoint sotto attacco: cosa sta succedendo?

Il modus operandi degli attacchi è particolarmente sofisticato e segue una sequenza precisa: vengono inviate richieste POST all’endpoint ToolPane dei server SharePoint, con il caricamento di script malevoli, solitamente denominati spinstall0.aspx o varianti simili.

Questi script sono sviluppati per estrarre la configurazione MachineKey, un elemento cruciale per la sicurezza dei sistemi, direttamente dai server. Una volta ottenuti, questi dati vengono decifrati e trasmessi agli attaccanti tramite semplici richieste GET, permettendo loro di penetrare ancora più a fondo nelle reti aziendali e di compromettere ulteriormente i sistemi critici.

La risposta di Microsoft non si è fatta attendere: nella giornata di sabato è stata distribuita una nuova patch, con l’obiettivo di bloccare la catena di attacco. Tuttavia, il rischio resta elevato per tutte le organizzazioni che non hanno ancora provveduto ad aggiornare tempestivamente i propri server.

È fondamentale sottolineare che, in molti casi, l’installazione della sola patch potrebbe non essere sufficiente a garantire la piena sicurezza dei sistemi. Le compromissioni provocate da queste vulnerabilità possono infatti non lasciare tracce evidenti, rendendo indispensabile un’analisi dettagliata dei log di sistema. Gli amministratori IT sono invitati a cercare attentamente indicatori di compromissione, come accessi sospetti o modifiche anomale ai file di configurazione, per identificare tempestivamente eventuali intrusioni.

A supporto delle organizzazioni colpite, numerose realtà specializzate in cybersecurity – tra cui Microsoft stessa, Eye Security, CISA, Sentinel One, Akamai, Tenable e Palo Alto Networks – hanno pubblicato guide operative e best practice per riconoscere e mitigare gli effetti degli attacchi. Queste risorse sono preziose per chiunque debba fronteggiare emergenze di questo tipo e desideri adottare un approccio proattivo nella protezione delle proprie infrastrutture digitali.