La CISA, l’agenzia statunitense per la sicurezza informatica e delle infrastrutture, ha recentemente emesso un avviso urgente riguardante due vulnerabilità critiche in Microsoft SharePoint, identificate come CVE-2025-49704 e CVE-2025-49706. Queste falle sono state aggiunte al catalogo delle vulnerabilità attivamente sfruttate (Known Exploited Vulnerabilities, KEV) dopo che sono state rilevate attività di attacco da parte di gruppi hacker cinesi, come Linen Typhoon e Violet Typhoon, che le hanno utilizzate per compromettere server SharePoint on-premise dal 7 luglio 2025.

Le vulnerabilità identificate

Le due vulnerabilità, una di tipo spoofing e una di esecuzione di codice remoto (RCE), sono parte di una catena di exploit conosciuta come ToolShell. Microsoft ha identificato anche le vulnerabilità CVE-2025-53770 e CVE-2025-53771, rispettivamente legate a bypass dell’autenticazione, esecuzione di codice remoto e traversal del percorso. In particolare, CVE-2025-53770 è stata classificata come una vulnerabilità che permette sia il bypass dell’autenticazione che l’esecuzione di codice remoto, rendendo ancora più grave il rischio per le organizzazioni che utilizzano SharePoint.

Richieste e analisi della CISA

CISA ha richiesto alle agenzie federali civili di risolvere queste vulnerabilità entro il 23 luglio 2025, sottolineando la necessità di agire rapidamente dato l’elevato livello di minaccia. Secondo il gruppo Akamai Security Intelligence, la vulnerabilità CVE-2025-53770 deriva dalla combinazione di un bypass dell’autenticazione (CVE-2025-49706) e di una vulnerabilità di deserializzazione insicura (CVE-2025-49704).

Mitigazioni e rischi residui

Nonostante Microsoft abbia fornito delle linee guida per mitigare il rischio, alcune organizzazioni sembrano affidarsi esclusivamente alla funzionalità AMSI (Antimalware Scan Interface) come misura difensiva. Tuttavia, esperti di sicurezza hanno dimostrato che è possibile aggirare AMSI anche dopo l’applicazione delle mitigazioni, lasciando i sistemi ancora esposti. È stato quindi ribadito come sia fondamentale applicare le patch ufficiali piuttosto che affidarsi unicamente a soluzioni temporanee come AMSI.

Raccomandazioni finali

L’evolversi della situazione e la presenza di exploit pubblici che possono essere facilmente adattati dagli attori malevoli rendono urgente la necessità di aggiornare e mettere in sicurezza tutte le installazioni di SharePoint, soprattutto perché le tecniche utilizzate dagli hacker sono particolarmente sofisticate e già in mano a gruppi sponsorizzati da stati esteri.