Microsoft SharePoint Server è una piattaforma collaborativa basata sul web ampiamente utilizzata dalle imprese per la gestione dei documenti, portali interni e come archivio centrale per informazioni aziendali cruciali, rendendola un obiettivo ad alto valore per gli attori delle minacce.

Questa vulnerabilità rappresenta un rischio significativo poiché consente a un attaccante remoto e non autenticato di bypassare tutti i controlli di autenticazione e impersonare utenti legittimi. Ciò potrebbe concedere all’attaccante accesso diretto a documenti interni sensibili, proprietà intellettuale e dati personali (PII) archiviati nell’ambiente SharePoint. L’impatto è amplificato per le organizzazioni che utilizzano SharePoint come sistema di riferimento o per flussi di lavoro critici per il business.

Sebbene non vi siano prove di sfruttamento attivo in natura, è disponibile un exploit proof-of-concept pubblico. I bypass di autenticazione in piattaforme aziendali onnipresenti sono obiettivi primari per attacchi sia opportunistici che mirati. Data l’importanza della piattaforma e la disponibilità pubblica di un exploit, le organizzazioni dovrebbero considerare questa vulnerabilità come ad alta priorità. I server SharePoint esposti a Internet sono quelli a rischio più immediato.

Riassunto tecnico

La causa tecnica alla radice di questa vulnerabilità è classificata come CWE-287: Autenticazione Impropria. Il server SharePoint non riesce a convalidare correttamente l’identità di un utente o servizio durante il processo di autenticazione, consentendo a un attaccante remoto e non autenticato di effettuare un attacco di spoofing.

L’attacco si sviluppa nella seguente sequenza logica:

1. L’attaccante invia un pacchetto di rete appositamente creato a un endpoint del server SharePoint coinvolto nell’autenticazione.
2. La richiesta è malformata in modo da sfruttare una falla nella logica di validazione dell’identità del server, inducendolo a fidarsi erroneamente delle affermazioni fornite dall’attaccante.
3. Il server elabora la richiesta come se provenisse da un utente legittimo impersonato, garantendo all’attaccante una sessione autenticata con i privilegi di quell’utente.

Un exploit riuscito concede all’attaccante la capacità di eseguire qualsiasi azione come l’utente impersonato. Se viene impersonato con successo un account amministratore, l’attaccante potrebbe ottenere il controllo completo sulla raccolta siti di SharePoint, permettendogli di leggere, modificare o esfiltrare tutti i dati archiviati, creare nuovi account amministrativi o eliminare interi siti.

Versioni interessate: Le versioni specifiche di Microsoft SharePoint Server interessate non sono state divulgate pubblicamente. Gli amministratori dovrebbero presumere che tutte le build attuali siano vulnerabili fino all’applicazione di una patch.

Versioni corrette: È prevista una patch di sicurezza da parte del fornitore. Gli amministratori dovrebbero monitorare gli aggiornamenti relativi a CVE-2025-53771.

Raccomandazioni

• Applicare la patch immediatamente: Applicare gli aggiornamenti di sicurezza relativi a CVE-2025-53771 da parte di Microsoft appena disponibili. Dare priorità alla correzione per i server esposti a Internet.
• Mitigazioni: Se non è possibile applicare immediatamente la patch, limitare l’accesso di rete ai server SharePoint. Se è necessario l’accesso esterno per motivi aziendali, assicurarsi che sia protetto da un Web Application Firewall (WAF) con regole progettate per ispezionare e validare le richieste di autenticazione. Implementare l’autenticazione a più fattori (MFA) per tutti gli utenti, poiché ciò può complicare la capacità dell’attaccante di sfruttare una sessione impersonata con successo.
• Ricerca e monitoraggio: Monitorare attentamente i log di autenticazione di SharePoint e dei controller di dominio alla ricerca di anomalie. Verificare accessi utente riusciti da indirizzi IP insoliti, numerosi tentativi di accesso falliti seguiti da un successo improvviso, o altri pattern di accesso che si discostano dalle abitudini tipiche di un determinato utente.
• Risposta agli incidenti: Se si sospetta una compromissione, isolare immediatamente il server SharePoint dalla rete per impedire ulteriore esfiltrazione di dati o movimento laterale. Mettere in sicurezza tutti i log rilevanti (UAG, WAF, IIS, Eventi di Sicurezza di Windows, e SharePoint ULS) per analisi forense. Presumere che tutti i dati sulla piattaforma siano stati compromessi e iniziare una valutazione dei danni.
• Difesa in profondità: Implementare rigorosi controlli di accesso con il minimo privilegio su tutti i siti SharePoint, per garantire che, in caso di impersonificazione di un utente non privilegiato, l’accesso dell’attaccante ai dati sensibili sia limitato. Effettuare regolarmente backup di tutti i dati di SharePoint e conservarli in una posizione sicura e offline per garantire il ripristino in scenari peggiori.