ToolShell sotto controllo, con SharePoint Online

Il problema dei clienti: infrastrutture SharePoint obsolete che espongono i dati aziendali

L’ecosistema SharePoint è stato scosso da un attacco zero-day di portata globale, che prende il nome di ToolShell (CVE-2025-53770).

Questa vulnerabilità ha permesso a gruppi criminali di compromettere server SharePoint on-premises in tutto il mondo, sfruttando un semplice POST non autenticato per:

• ottenere accesso remoto;
• installare web shell persistenti;
• sottrarre chiavi crittografiche fondamentali.
  ‍

Il problema non ha quindi riguardato un singolo cliente, ma un’intera categoria di aziende ancora legate a infrastrutture SharePoint locali. Di conseguenza, le patch ufficiali non sono bastate, perché, senza una rotazione tempestiva delle machine key ASP.NET, gli attaccanti potevano mantenere l’accesso anche dopo l’aggiornamento.

In un attimo, molti dei nostri clienti si sono trovati a gestire una situazione ben oltre la loro portata:

• 85+ organizzazioni erano già state colpite al momento della disclosure pubblica, segno della rapidità e della gravità dell’attacco;
  ‍
• necessità di gestire infrastrutture frammentate, spesso basate su versioni miste di SharePoint e ambienti legacy non più supportati;
  ‍
• assenza di strumenti di difesa in grado di contrastare la minaccia, come Microsoft Defender for Endpoint, Conditional Access o AMSI Full Mode;
  ‍
• aggiornamenti disomogenei, che rendevano difficile applicare le patch di emergenza;
  ‍
• mancanza di automazioni per la gestione delle chiavi crittografiche, che ha permesso agli attaccanti di mantenere un accesso prolungato ai dati aziendali.
  ‍

Inoltre, diverse aziende utilizzavano versioni precedenti di SharePoint, come SharePoint 2013 e 2010, che non ricevono più aggiornamenti, essendo ormai fuori supporto.

Per queste infrastrutture, l’unica soluzione consisteva nella migrazione verso SharePoint Online.

Nonostante la confusione generata tra aziende e dipartimenti IT, l’attacco ToolShell ha quindi messo subito in chiaro che la sicurezza degli ambienti SharePoint non dovrebbe più basarsi su modelli on-prem tradizionali.

SharePoint ToolShell: cos’è e come è avvenuto l’incidente

ToolShell (CVE-2025-53770) è una vulnerabilità zero-day che di recente ha colpito le versioni on-premises di SharePoint 2016, 2019 e Subscription Edition, consentendo l’esecuzione di codice remoto senza autenticazione.

L’attacco ha fatto quindi leva su una richiesta manipolata verso una pagina interna di SharePoint (ToolPane.aspx), in grado di aggirare i controlli di sicurezza simulando un accesso legittimo.

Una volta entrato nel sistema, l’attaccante può:

• caricare una web shell, ovvero un file malevolo che abilita il controllo remoto del server, direttamente in una cartella di sistema;
  ‍
• mantenere l’accesso anche dopo l’installazione delle patch, a meno che non vengano rigenerate manualmente le chiavi di sicurezza;
  ‍
• rubare le chiavi crittografiche utilizzate per proteggere le comunicazioni e l’identità degli utenti che popolano il digital workplace aziendale.
  ‍

Ma ciò che rende ToolShell pericoloso è la sua capacità di colpire qualsiasi server SharePoint esposto su internet, indipendentemente dalle configurazioni impostate o da eventuali errori da parte degli utenti.

In pratica, basta che il sistema sia online e non aggiornato per essere vulnerabile.

Il primo caso di attacco è stato rilevato il 7 luglio 2025.

In pochi giorni, l’exploit è stato pubblicato su GitHub e ha iniziato a diffondersi rapidamente.

Il 19 luglio, Microsoft ha confermato l’esistenza dell’attacco e ha assegnato le CVE ufficiali.

Tuttavia, solo il 21 luglio sono state rilasciate le patch di emergenza, quando ormai oltre 85 organizzazioni risultavano già compromesse.

La nostra soluzione: migrazione verso un’infrastruttura sicura, con SharePoint Online

Quando Microsoft ha confermato l’esistenza di ToolShell, il nostro team era già operativo. Grazie a un framework di risposta automatizzata e a una profonda conoscenza degli ambienti SharePoint, siamo riusciti a mettere in sicurezza tutti i nostri clienti in meno di 24 ore.

Il nostro intervento si è articolato in più fasi, coordinate da un playbook di emergenza collaudato:

• Distribuzione delle patch tramite PowerShell Remoting, una tecnologia che ci ha permesso di aggiornare da remoto tutti i server gestiti, senza dover intervenire manualmente su ciascuno;
  ‍
• Rotazione immediata delle machine key ASP.NET, ovvero le chiavi che proteggono l’identità degli utenti e la sicurezza delle comunicazioni aziendali. Se compromesse, queste chiavi permettono agli attaccanti di rientrare nel sistema anche dopo l’aggiornamento;
  ‍
• Analisi forense completa con strumenti Microsoft Defender e query specializzate (KQL), per verificare che non fossero presenti file malevoli o attività sospette nei sistemi;
  ‍
• Briefing esecutivo personalizzato per ogni cliente, con un report chiaro sullo stato dell’infrastruttura, i rischi residui e le azioni di sicurezza consigliate.
  ‍

Non ci siamo però fermati alla gestione dell’emergenza.

Abbiamo trasformato la crisi in opportunità, per accelerare la transizione verso un ambiente SharePoint più resiliente. Abbiamo quindi proposto a ogni cliente un percorso di migrazione verso SharePoint Online, articolato in tre fasi di supporto:

• Assessment e preparazione: mappiamo i contenuti esistenti, analizziamo le dipendenze e configuriamo un ambiente di test per simulare la migrazione;
  ‍
• Migrazione e hardening: trasferiamo i dati con strumenti certificati (in primis ShareGate) e attiviamo funzionalità di sicurezza avanzate come l’autenticazione a più fattori, la protezione dei dati (DLP) e il controllo degli accessi (tramite Conditional Access);
  ‍
• Ottimizzazione e formazione: dismettiamo i server locali e organizziamo workshop per aiutare gli utenti a familiarizzare con il nuovo ambiente cloud.
  ‍

Proprio grazie al cloud, i nostri clienti oggi operano su una piattaforma più sicura, che ha portato a una riduzione del 42% sul costo totale di gestione dell’infrastruttura, con punte che in alcuni casi hanno superato il 90%.

E questo è stato solo il primo risultato degno di nota.

Ne parliamo meglio nella prossima sezione.

I risultati ottenuti

Pur ritrovandoci tutti in uno stato di emergenza generale, Dev4Side è riuscita a garantire ai clienti una protezione completa e tempestiva.

Mentre cresceva il numero di aziende compromesse al momento della disclosure pubblica, nessuna delle realtà da noi gestite ha subito violazioni.

Questo risultato è stato possibile grazie a un intervento metodico, che ha permesso di:

• distribuire le patch entro 2 ore dal rilascio ufficiale di Microsoft;
• completare l’analisi forense entro 24 ore;
• invalidare immediatamente le chiavi compromesse;
• fornire un supporto immediato, con briefing esecutivi personalizzati.
  ‍

Ma altri importanti risultati sono emersi nel medio termine. Grazie al percorso di migrazione verso SharePoint Online, infatti, i nostri clienti hanno potuto:

• eliminare completamente la superficie d’attacco legata ai server esposti;
• ridurre i costi operativi con una media del 42%, grazie all’adozione del cloud;
• aumentare il livello di sicurezza dell’infrastruttura alla base del digital workplace;
• semplificare la governance, centralizzando la gestione dei contenuti e delle identità in un’unica piattaforma integrata con Microsoft 365.
  ‍

Vediamo i dati raccolti su un’infrastruttura tipo (5 server, 5.000 utenti).