Un nuovo exploit di Microsoft SharePoint è stato risolto con un aggiornamento di sicurezza di emergenza

Microsoft ha rilasciato una patch di sicurezza di emergenza che limita gli attacchi "ToolShell" che colpiscono i servizi in tutto il mondo. Le patch per Microsoft SharePoint Subscription Edition e SharePoint 2019 risolvono due falle di sicurezza critiche identificate come "CVE-2025-53770" e "CVE-2025-53771".

Attualmente, non sono disponibili patch per SharePoint 2016, ma Microsoft ha indicato che ci sta lavorando. L'azienda ha raccomandato agli amministratori di installare l'aggiornamento "KB5002754" per SharePoint 2019 e l'aggiornamento "KB5002768" per SharePoint Subscription Edition

Queste vulnerabilità consentono l'esecuzione remota di codice arbitrario sui server senza richiedere alcuna autenticazione. L'exploit "CVE-2025-53770" ha un punteggio CVSS v3 di 9.8 ed è attivamente sfruttato in natura.

Gli aggressori prendono di mira i server SharePoint abilitati a Internet e almeno due di questi attacchi hanno legami con i gruppi ransomware "Silk Typhoon" e "Storm-0506", entrambi noti per prendere di mira i server aziendali.

La falla consente agli aggressori di rubare le chiavi e impersonare gli utenti, anche se il server viene riavviato o patchato. Finora, le versioni cloud di SharePoint non sembrano essere vulnerabili agli attacchi.

I ricercatori di Eye Security hanno scoperto per la prima volta le falle il 18 luglio. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso per abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender AV su tutti i server SharePoint.

Se non è possibile abilitare AMSI, si consiglia di scollegare immediatamente i server interessati dalla rete fino a nuova risoluzione.