Il 18 luglio 2025, gli analisti MDR (Managed Detection and Response) di Sophos hanno osservato un aumento di attività dannose rivolte a istanze SharePoint on-premise, inclusa l’esecuzione di comandi PowerShell malevoli su più infrastrutture.
Ulteriori analisi hanno determinato che questi eventi sono molto probabilmente il risultato di un impiego attivo e malevolo di un exploit che sfrutta “ToolShell”.
Aggiorneremo questa pagina con l’evolversi degli eventi e della loro comprensione, incluse indicazioni sulle minacce e sulla rilevazione.
Aggiornamento 22-07-2025 ore 21:48 UTC: confermata la prima attività di sfruttamento il 17 luglio.
Aggiornamento 22-07-2025 ore 16:23 UTC: informazioni sul primo caso noto di sfruttamento (“Cosa abbiamo visto”) e ulteriori dettagli/chiarimenti sull’attività dell’attacco; ulteriori indicazioni sulle protezioni da adottare (“Cosa fare”), e rilascio di un proof-of-concept pubblico (“Cosa succede ora”).
“ToolShell” si riferisce complessivamente allo sfruttamento concatenato di due vulnerabilità di SharePoint: CVE-2025-49704 e CVE-2025-49706.
L’exploit ToolShell è stato presentato durante l’evento Pwn2Own di Berlino nel maggio 2025, e Microsoft ha rilasciato patch per entrambe le vulnerabilità nel Patch Tuesday di luglio.
Tuttavia, gli attori delle minacce stanno effettivamente usando ToolShell per sfruttare una nuova vulnerabilità 0-day, che ha portato alla pubblicazione di due nuovi CVE-ID: CVE-2025-53770 e CVE-2025-53771.
Sophos MDR ha contattato tutte le vittime conosciute, ma poiché queste vulnerabilità sono attivamente sfruttate, invitiamo gli utenti ad applicare quanto prima le patch pertinenti sui server SharePoint on-premise
(secondo Microsoft, SharePoint Online in Microsoft 365 non è interessato).
Continua a leggere l’articolo.
