/https://www.ilsoftware.it/app/uploads/2025/04/luca_giordano.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/07/wp_drafter_483790.jpg "Allarme sicurezza: ToolShell, la nuova minaccia informatica per i server SharePoint")
L’estate 2025 segna un momento critico per la sicurezza digitale globale: una nuova ondata di attacchi informatici ha preso di mira i server Microsoft SharePoint, sfruttando le recenti vulnerabilità zero day identificate e sfruttate attivamente da gruppi cybercriminali e APT internazionali. La situazione, confermata da Microsoft e da numerosi analisti di settore, evidenzia come le infrastrutture aziendali e governative siano oggi più che mai esposte a rischi di compromissione e perdita di dati sensibili.
La minaccia ToolShell: due nuove falle
Il 19 luglio 2025 Microsoft ha lanciato l’allarme su due gravi falle di sicurezza, catalogate come CVE-2025-53770 e CVE-2025-53771 e ribattezzate collettivamente ToolShell. Queste vulnerabilità zero day consentono ai malintenzionati di aggirare completamente le difese, inclusi sistemi di autenticazione avanzata come MFA e SSO, ottenendo accessi privilegiati ai server Microsoft SharePoint on-premises. Le versioni più esposte sono SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016, mentre gli utenti della piattaforma cloud SharePoint Online (Microsoft 365) risultano al momento al sicuro da questa minaccia.
La gravità della situazione è ulteriormente amplificata dal ruolo centrale che Microsoft SharePoint ricopre nell’ecosistema digitale: rappresenta infatti il fulcro di servizi fondamentali come Office, Teams, OneDrive e Outlook. Un’eventuale compromissione di SharePoint può dunque aprire le porte a un attacco su vasta scala, mettendo a rischio l’intera infrastruttura IT aziendale.
Strategie d’attacco sofisticate
Secondo le analisi di ESET Research, la catena di attacco ToolShell è stata osservata a partire dal 17 luglio 2025 e ha coinvolto sia cybercriminali comuni che gruppi APT legati a interessi governativi, in particolare quelli riconducibili alla Cina. Gli aggressori sfruttano una combinazione di falle, tra cui anche le già note CVE-2025-49704 e CVE-2025-49706, per installare webshell malevoli come “spinstall0.aspx” (identificata come MSIL/Webshell.JS) sui sistemi bersaglio.
Queste webshell permettono agli attaccanti di eseguire comandi da remoto, sottrarre dati sensibili e mantenere una presenza costante sui server attraverso backdoor persistenti. Sono stati inoltre rilevati altri script dannosi, come “ghostfile346.aspx”, che confermano la complessità e la pericolosità delle operazioni in corso.
Distribuzione geografica e impatto globale
Gli attacchi non hanno risparmiato nessuna area geografica: gli Stati Uniti rappresentano il 13,3% dei casi documentati, ma anche l’Europa è stata duramente colpita. Il primo tentativo di attacco bloccato è stato registrato in Germania, mentre il primo payload effettivamente installato è stato rilevato in Italia. Il picco dell’attività malevola si è concentrato tra il 17 e il 22 luglio, ma gli esperti prevedono una persistenza della minaccia nei mesi successivi.
Sul fronte geopolitico, Microsoft ha attribuito la responsabilità di numerosi attacchi al gruppo LuckyMouse, noto per le sue operazioni di cyber spionaggio su mandato di entità statali cinesi. L’obiettivo primario sembra essere l’installazione di backdoor persistenti, con particolare attenzione alle infrastrutture governative e alle grandi aziende.
Patch di sicurezza e monitoraggio costante
Per limitare i rischi, Microsoft raccomanda una serie di azioni immediate e non più rimandabili: aggiornare i server SharePoint alle versioni più recenti, applicare tutte le patch di sicurezza disponibili, configurare correttamente l’Antimalware Scan Interface e ruotare regolarmente le machine keys ASP.NET. Questi interventi sono fondamentali per rafforzare le difese e prevenire ulteriori compromissioni.
Un supporto prezioso arriva dalla pubblicazione di un elenco dettagliato di indicatori di compromissione su GitHub, che permette ai responsabili IT di individuare tempestivamente eventuali segni di infezione nei propri sistemi.
Gli esperti sottolineano come la minaccia rimanga estremamente concreta, anche a causa della rapidità con cui gli exploit si diffondono e della crescente integrazione tra strumenti cloud e piattaforme di collaborazione digitale.
/https://www.ilsoftware.it/app/uploads/2025/07/privadovpn-600x240.webp "PrivadoVPN: sicurezza, streaming globale e privacy a poco più di 1€ al mese")
/https://www.ilsoftware.it/app/uploads/2025/07/nordpass-600x240.webp "Stanco di ricordare mille password? Prova NordPass, in sconto del 50%")
/https://www.ilsoftware.it/app/uploads/2025/07/threat-protection-pro-600x240.webp "Offerta NordVPN: Threat Protection Pro a partire da 4,39€/mese")
/https://www.ilsoftware.it/app/uploads/2025/07/charles-leclerc-ferrari.jpg "Come vedere il Gran Premio del Belgio 2025 di Formula 1 dall'estero")