Rilevamento CVE-2025-53770: vulnerabilità zero-day di Microsoft SharePoint attivamente sfruttata per attacchi RCE
Indice:
Questa estate ha visto un’impennata di vulnerabilità critiche che hanno colpito i prodotti Microsoft. Una nuova vulnerabilità RCE in Windows, tracciata come CVE-2025-33053, è stata attivamente sfruttata dal gruppo APT Stealth Falcon. Contemporaneamente, è stata scoperta un’altra grave falla, denominata EchoLeak (CVE-2025-32711), in Microsoft Copilot, che consente l’esfiltrazione silenziosa di dati via email senza alcuna interazione da parte dell’utente.
Con queste vulnerabilità ancora fresche nella memoria, l’attenzione si è spostata su un’altra minaccia ad alto impatto chiamata ToolShell. Il nuovo zero-day (CVE-2025-53770) usato in questi attacchi è una variante della vulnerabilità RCE di SharePoint recentemente patchata (CVE-2025-49704) attualmente sfruttata in natura. Gli aggressori la utilizzano per installare backdoor sui server SharePoint on-premises compromessi ed estrarre chiavi di sicurezza, aprendo la porta a un completo compromesso del sistema.
Rileva i tentativi di sfruttamento di CVE-2025-53770
Con oltre 1,4 miliardi di dispositivi alimentati da Windows e la dipendenza globale dai suoi servizi, Microsoft rimane al centro dell’ecosistema digitale odierno. Il report BeyondTrust sulle vulnerabilità Microsoft del 2025 ha rivelato un numero record di 1.360 vulnerabilità divulgate nel 2024, con un aumento dell’11% rispetto al precedente picco. Questa tendenza evidenzia la crescente superficie di attacco e l’urgente necessità per le organizzazioni di adattarsi proattivamente a un panorama di minacce in continua evoluzione.
Iscriviti alla piattaforma SOC Prime per accedere a intelligence sulle minacce informatiche in tempo reale e algoritmi di rilevamento curati che affrontano i tentativi di sfruttamento di CVE-2025-53770. La piattaforma fornisce inoltre ai team SOC un set completo di strumenti per l’ingegneria della rilevazione basata sull’AI, threat hunting automatizzato e rilevamento avanzato delle minacce.
I difensori informatici che cercano ulteriori contenuti di rilevamento relativi ai tentativi di sfruttamento delle vulnerabilità possono consultare il Threat Detection Marketplace utilizzando il tag “CVE”.
Tutti i rilevamenti possono essere utilizzati su più tecnologie SIEM, EDR e Data Lake e sono allineati con il framework MITRE ATT&CK per facilitare le indagini sulle minacce. La piattaforma SOC Prime offre ai team di sicurezza contenuti di rilevamento di alta qualità arricchiti con link CTI, timeline degli attacchi, configurazioni di audit, raccomandazioni per il triage e altro contesto rilevante.
Gli ingegneri della sicurezza possono inoltre sfruttare Uncoder AI—un’AI privata, non agentica, progettata appositamente per l’ingegneria della rilevazione informata dalle minacce. Con Uncoder, i difensori possono convertire automaticamente IOC in query di hunting azionabili, creare regole di rilevamento da report grezzi sulle minacce, abilitare la predizione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’AI e tradurre contenuti di rilevamento su più piattaforme.
Analisi di CVE-2025-53770
Due vulnerabilità critiche zero-day in Microsoft SharePoint, tracciate come CVE-2025-53770 e CVE-2025-53771, sono state utilizzate in attacchi reali almeno dal 18 luglio, senza alcuna patch ufficiale rilasciata e con oltre 85 server confermati compromessi a livello mondiale.
CVE-2025-53770, una vulnerabilità di sicurezza altamente critica con un CVSS pari a 9.8, è considerata una variante della precedente CVE-2025-49704, una falla di iniezione di codice e RCE affrontata da Microsoft nel Patch Tuesday di luglio 2025. L’attività di sfruttamento chiamata “ToolShell” consente agli attaccanti di ottenere accesso non autenticato ai sistemi vulnerabili, fornendo pieno accesso ai contenuti di SharePoint, inclusi archivi di file e configurazioni interne, e abilitando RCE attraverso la rete.
CVE-2025-53770 coinvolge la deserializzazione di dati non attendibili in istanze SharePoint on-premises, che permette RCE da parte di un attaccante non autenticato attraverso la rete. Dopo aver ottenuto l’accesso, gli avversari possono falsificare payload affidabili, abilitando persistenza o movimento laterale mentre si mascherano come operazioni legittime di SharePoint.
Nella guida per i clienti, Microsoft ha confermato che gli avversari stanno attivamente sfruttando vulnerabilità nei sistemi SharePoint Server on-premises, parzialmente mitigate nell’aggiornamento di sicurezza di luglio. Entrambi i problemi di sicurezza interessano solo le installazioni on-premises, mentre SharePoint Online in Microsoft 365 resta non interessato.
Per affrontare completamente i rischi legati alle vulnerabilità sopra menzionate, il vendor ha rilasciato aggiornamenti di sicurezza per SharePoint Subscription Edition e SharePoint Server 2019. L’azienda raccomanda fortemente di installare tali aggiornamenti senza ritardi per proteggere gli ambienti. Microsoft ha inoltre dichiarato che una correzione completa è in fase di test approfondito e sarà rilasciata in un aggiornamento futuro.
Fino al rilascio della patch completa, il vendor consiglia vivamente di abilitare l’integrazione AMSI in SharePoint e di eseguire Microsoft Defender Antivirus su tutti i server SharePoint. Se l’AMSI non può essere attivato, i server SharePoint vulnerabili dovrebbero essere disconnessi da internet come precauzione.
Il 20 luglio, CISA ha emesso un alert confermando lo sfruttamento attivo di CVE-2025-53770. Come possibili misure di mitigazione, CISA invita le organizzazioni a rivedere gli aggiornamenti di sicurezza Microsoft corrispondenti, monitorare richieste POST sospette verso /ToolPane.aspx?DisplayMode=Edit, effettuare la scansione di IP quali 107.191.58[.]76, 104.238.159[.]149 e 96.9.125[.]147, aggiornare le regole IPS/WAF, abilitare il logging dettagliato degli eventi e ridurre i privilegi di layout e amministrazione.
CISA ha collaborato rapidamente con Microsoft per coordinare una risposta e avvisare le organizzazioni sulle mitigazioni essenziali. Questo caso evidenzia il ruolo critico della collaborazione operativa tra ricercatori, fornitori tecnologici e CISA per permettere un’identificazione rapida delle minacce e una difesa unificata a tutela della sicurezza nazionale e interna.
La difesa informatica collettiva e gli sforzi coordinati tra governi, vendor privati e comunità di ricerca sulla sicurezza sono essenziali per contrastare gli attori di minaccia moderni, consentendo un rilevamento, una risposta e una resilienza più rapidi di fronte ad attacchi di crescente sofisticazione. La piattaforma SOC Prime per la difesa collettiva informatica, supportata da AI, automazione, intelligence sulle minacce in tempo reale e basata su principi zero-trust, aiuta le organizzazioni globali a contrastare minacce informatiche che sfruttano vulnerabilità critiche e zero-day, costruendo al contempo una postura di cybersecurity resiliente.
