Microsoft ha ammesso pubblicamente l’esistenza di una vulnerabilità critica non risolta che sta colpendo attivamente tre versioni on-premise di SharePoint Server, confermando che gli attacchi sfruttano un difetto già parzialmente corretto nei precedenti aggiornamenti di sicurezza.

In una nota di sicurezza pubblicata il 19 luglio, l’azienda ha segnalato che alcuni clienti enterprise che utilizzano SharePoint Server in locale sono oggetto di exploit mirati contro CVE-2025-53770, una vulnerabilità classificata con un punteggio di 9.8 su 10 nella scala CVSS che consente a un attaccante non autenticato di eseguire codice da remoto attraverso la rete.

Secondo la CISA (Cybersecurity and Infrastructure Security Agency degli Stati Uniti), CVE-2025-53770 è una variante della precedente CVE-2025-49706, una vulnerabilità a rischio medio (CVSS 6.3) per cui Microsoft aveva già rilasciato una patch nel più recente Patch Tuesday. Tuttavia, quella correzione non ha affrontato completamente la causa del problema, lasciando il campo aperto ai nuovi attacchi oggi in corso.

I prodotti vulnerabili includono:

  • SharePoint Enterprise Server 2016
  • SharePoint Server 2019
  • SharePoint Server Subscription Edition

Al momento, solo per quest’ultima versione è stata distribuita una patch, ma anche qui la situazione non è del tutto chiara. La correzione pubblicata affronta infatti una vulnerabilità distinta (CVE-2025-53771, anch’essa valutata 6.3), ma secondo Microsoft contribuisce indirettamente a mitigare anche la CVE-2025-53770.

5348350

Le contromisure provvisorie

In attesa di patch complete per tutte le versioni, Microsoft consiglia agli amministratori di:

  • Verificare che AMSI (Antimalware Scan Interface) sia attivo e correttamente configurato
  • Utilizzare soluzioni antivirus aggiornate
  • Monitorare processi sospetti legati a IIS worker
  • Ruotare le chiavi ASP.NET machine key per SharePoint Server

Parallelamente, la CISA ha emesso un proprio avviso di sicurezza invitando alla scansione dei log di rete alla ricerca di attività sospette collegate agli IP 107.191.58[.]76, 104.238.159[.]149 e 96.9.125[.]147, con attenzione particolare ai POST verso /ToolPane.aspx?DisplayMode=Edit nei giorni 18 e 19 luglio 2025.

Un pattern di sicurezza preoccupante

Il caso degli attacchi a SharePoint Server non è un’eccezione. Microsoft si trova infatti al centro di crescenti preoccupazioni in merito alla gestione della sicurezza nei prodotti enterprise on-premise, spesso soggetti a patch tardive, parziali o distribuite in modo selettivo.

La mancata risoluzione completa della vulnerabilità CVE-2025-53770 è solo l’ultimo esempio di una catena di interventi che sembrano più orientati a guadagnare tempo che a proteggere in modo trasparente gli utenti. Il rischio è che le organizzazioni che utilizzano software Microsoft in ambienti on-prem si ritrovino esposte a minacce persistenti e sofisticate, con poche garanzie reali sulla prontezza degli aggiornamenti correttivi.

Il caso evidenzia ancora una volta quanto sia cruciale per i responsabili IT monitorare attivamente i segnali di compromissione, mantenere backup e configurazioni aggiornate per mitigare i danni in caso di exploit riuscito e, infine, non affidarsi esclusivamente alle patch ufficiali, ma integrare pratiche di hardening avanzato.