ToolShell: sfruttamento in corso della CVE-2025-53770 (RCE) e CVE-2025-53771 (spoofing) su SharePoint on-prem

La CVE-2025-53770 (RCE, CVSS 9.8) consente esecuzione di codice senza autenticazione, mentre la CVE-2025-53771 aggira i fix precedenti. Web shell spinstall0.aspx e varianti iniettano comandi PowerShell e sottraggono ValidationKey/DecryptionKey, garantendo persistenza post-patch.

La campagna ToolShell ha preso slancio dal 17 luglio 2025, poche ore dopo che sono circolati PoC pubblici. Gli aggressori inviano una richiesta POST al percorso /_layouts/15/ToolPane.aspx?DisplayMode=Edit mascherando l’header Referer come /_layouts/15/SignOut.aspx.
In questo modo sfruttano la logica difettosa della funzione PostAuthenticateRequestHandler (CVE-2025-53771) per bypassare l’autenticazione su IIS integrato.

L’endpoint ToolPane deserializza la variabile __VIEWSTATE; fornendo un payload malevolo serialized .NET, l’attaccante scrive una web shell (ad es. spinstall0.aspx) nella cartella Layouts e la invoca per estrarre le chiavi ASP.NET MachineKey. Con queste chiavi può firmare nuovi VIEWSTATE e ottenere RCE persistente (CVE-2025-53770).

Microsoft ha rilasciato patch fuori band il 19 luglio, ma la telemetria SentinelOne e Kaspersky mostra ondate di exploit anche su host già parzialmente aggiornati, a causa di configurazioni residue e chiavi non ruotate. Storm-2603 ha collegato il bug a campagne ransomware, caricando runner PowerShell base64 e criptando file SharePoint.

Fonti: ACN, Microsoft, PaloAlto, Kaspersky