ToolShell: attacco globale ai server SharePoint, ecco cosa sapere sulle vulnerabilità zero-day

Un nuovo allarme scuote il panorama della cybersecurity internazionale: la campagna di attacchi ToolShell sta mettendo a rischio le infrastrutture IT di migliaia di organizzazioni in tutto il mondo, sfruttando falle sconosciute nei sistemi SharePoint Server.

L’analisi condotta dagli esperti di ESET Research ha rivelato come questa minaccia, emersa il 17 luglio 2025, sia riuscita a superare anche le difese più avanzate, ponendosi come uno degli attacchi più sofisticati e pericolosi degli ultimi cinque anni.

Due vulnerabilità zero day

La gravità della situazione è stata confermata dalla scoperta di due vulnerabilità zero day, identificate come CVE 2025 53770 (che consente l’esecuzione remota di codice) e CVE 2025 53771 (relativa al server spoofing), ufficialmente riconosciute da Microsoft il 19 luglio. Queste falle consentono ai cybercriminali di aggirare persino l’autenticazione a più fattori, ottenendo accesso non autorizzato a dati altamente sensibili e compromettendo la sicurezza di aziende ed enti pubblici a livello globale.

Esposte tutte le installazioni on-premises di SharePoint

Tutte le installazioni on-premises di SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 risultano esposte a questo attacco, mentre l’unica versione non colpita è SharePoint Online, parte integrante della suite Microsoft 365. La pericolosità della campagna è ulteriormente amplificata dalla capacità degli attaccanti di combinare rapidamente quattro diverse vulnerabilità, tra cui le già note CVE-2025-49704 e CVE-2025-49706, precedentemente corrette da Microsoft ma nuovamente sfruttate nell’attacco.

Italia coinvolta

Secondo la telemetria di ESET, la distribuzione degli attacchi mostra una portata realmente globale: la maggiore concentrazione si registra negli Stati Uniti (13,3%), ma anche Italia e Germania figurano tra i bersagli più colpiti. Il primo tentativo di intrusione è stato individuato e bloccato in Germania il 17 luglio, mentre il primo payload attivo è stato rinvenuto su un server italiano il giorno successivo, confermando la rapidità e la precisione con cui la minaccia si è diffusa.

Attacco tramite webshell

Il vettore di attacco principale consiste nell’installazione di una webshell – come spinstall0.aspx, classificata da ESET come MSIL/Webshell.JS – che permette agli aggressori di ottenere il controllo remoto dei sistemi e di sottrarre informazioni riservate. L’analisi ha inoltre portato all’identificazione di altri script malevoli, tra cui ghostfile346.aspx, ghostfile399.aspx e ghostfile807.aspx, tutti impiegati per consolidare la presenza degli hacker all’interno delle infrastrutture compromesse.

A destare ulteriore preoccupazione è il coinvolgimento di gruppi APT cinesi, come LuckyMouse, noti per le loro attività di spionaggio informatico rivolte a enti governativi e grandi aziende. Le fonti IP degli attacchi tracciano una vasta gamma di provider, da BL Networks a DigitalOcean e Kaopu Cloud, rendendo ancora più complessa l’attività di tracciamento e risposta.

Metodologia d'attacco e di difesa

Gli esperti sottolineano come la metodologia adottata dagli attaccanti sia in linea con le tecniche classificate nel framework MITRE ATT CK, dimostrando una conoscenza approfondita degli strumenti e delle strategie di attacco più avanzate. Questo elemento conferma la natura altamente organizzata e professionale della campagna ToolShell, che rappresenta una sfida significativa anche per i team di sicurezza più preparati.

Per difendersi efficacemente da questa minaccia, le raccomandazioni degli specialisti sono chiare: è fondamentale utilizzare esclusivamente versioni supportate di SharePoint, applicare tempestivamente tutte le patch di sicurezza rilasciate da Microsoft, configurare in modo appropriato l’Antimalware Scan Interface e ruotare regolarmente le machine keys ASP.NET per limitare i rischi di compromissione.