Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qua il link onion che è finito tra le mani delle forze dell’ordine), sequestrando i loro Data Leak Site (DLS). Questa azione mirata è stata condotta per contrastare gli attacchi che negli ultimi anni hanno preso di mira e violato le reti di centinaia di organizzazioni a livello globale.
Il Dipartimento di Giustizia degli Stati Uniti ha confermato il sequestro dei domini BlackSuit, con i siti web .onion che sono stati sostituiti da un banner che annunciava la chiusura da parte delle autorità, sottolineando l’ampiezza dell’indagine coordinata a livello internazionale. Tra i siti sequestrati figurano blog per la fuga di dati e piattaforme di negoziazione utilizzate per estorcere denaro alle vittime.
Le Forze Coinvolte L’operazione ha visto una vasta collaborazione tra diverse agenzie di sicurezza e forze dell’ordine a livello mondiale. Tra i partecipanti chiave si annoverano:
- U.S. Homeland Security Investigations
- U.S. Secret Service
- IRS: Criminal Investigation
- Department of Justice (DOJ)
- FBI
- Europol
- Landeskriminalamt Niedersachsen (Polizia criminale dello Stato tedesco)
- National Crime Agency (NCA) del Regno Unito
- North West Regional Organised Crime Unit (NWROCU)
- Polizia Nazionale Olandese
- Polizia Cyber Ucraina
- Lietuvos Kriminalinės Policijos Biuras (Ufficio di Polizia Criminale Lituano)
- Frankfurt Public Prosecutor’s Office
- Bitdefender (società rumena di sicurezza informatica)
- Delta Police
La Storia di BlackSuit
L’operazione ransomware BlackSuit è emersa tra aprile e maggio 2023. Il gruppo è un’organizzazione estorsiva su più fronti, che crittografa ed esfiltra i dati delle vittime e ospita siti pubblici per la fuga di dati per le vittime che non ottemperano alle loro richieste. Il gruppo era noto per i suoi attacchi significativi contro enti nei settori sanitario e dell’istruzione, oltre ad altri settori critici. BlackSuit è un’operazione privata in quanto non ha affiliati pubblici. I payload di BlackSuit presentano molte somiglianze tecniche con i payload del ransomware Royal , come meccanismi di crittografia e parametri della riga di comando simili.
Sono prese di mira grandi imprese e piccole e medie imprese (PMI), sebbene non sembri esserci alcuna discriminazione specifica in termini di settore o tipo di obiettivo. Analogamente a Royal , sembra che siano escluse le entità della CSI (Comunità degli Stati Indipendenti). Ad oggi, gli attacchi di BlackSuit hanno favorito le aziende operanti nei settori sanitario, dell’istruzione, dell’informatica (IT), governativo, della vendita al dettaglio e manifatturiero.
“Operation Checkmate” rappresenta un altro significativo passo avanti nella lotta globale contro la criminalità informatica, dimostrando l’efficacia della cooperazione internazionale nel disarticolare le reti ransomware e fornire supporto alle vittime.
Negli ultimi mesi, le forze dell’ordine stanno riscuotendo moltissimi successi nelle operazioni contro i gruppi cybercriminali, e questo i criminali informatici lo sanno bene. Non è raro, infatti, trovare nei forum underground discussioni in cui gli stessi attori malevoli commentano le recenti operazioni di polizia, ammettendo che il mestiere sta diventando sempre più rischioso.
Tuttavia, i forti guadagni derivanti dal ransomware continuano a rappresentare una motivazione irresistibile, mantenendo alta l’attenzione dei criminali su questo business: il numero di attacchi subiti dalle aziende e le somme spese per fronteggiarli, infatti, non accennano a diminuire.
Il Decryptor e il Supporto alle Vittime
Come in altre situazioni analoghe di successo contro i gruppi ransomware, è stato prodotto e reso disponibile un decryptor per consentire alle aziende colpite di recuperare l’accesso ai propri dati e di uscire dalla cifratura. Questo passo cruciale mira a mitigare il danno subito dalle vittime e a supportare le organizzazioni nel ripristino delle proprie operazioni.
L'articolo Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato! proviene da il blog della sicurezza informatica.
Il parco delle Cascine di Firenze. Una storia di degrado (e di insicurezza)
Firenze. Il parco delle Cascine è molto apprezzato dal gazzettaio in campagna elettorale permanente e dagli sfaccendati telematici che fotografano escrementi e cartacce per dir male dell'amministrazione. Per motivi leggermente diversi è molto apprezzato anche dalle persone serie, che dopo aver lavorato tutto il giorno usano i parchi come parchi e le piazze come piazze senza affatto curarsi del gazzettaio, della campagna elettorale permanente, degli sfaccendati telematici e men che meno dei loro puntigliosi inventari di escrementi e di cartacce.
A ciascuno il suo, in questo come in ogni altro aspetto del vivere.
A volte tocca fare qualche eccezione per mantenere la costruttiva abitudine al controcanto derisorio, e per ricordare la differenza che esiste tra la realtà quotidiana di chi tiene alla propria sanità mentale e lo sporco anche morale di chi fa il liberista col denaro pubblico e interagisce benissimo con i mastantuono e i lupino. Ecco dunque una storia di degrado (e di insicurezza) di quelle vere, e pazienza se si deve attingere alle gazzette.
Dunque. Nel mondo delle gazzette il Bene e il Male sono per lo più dicotomici. Nel nostro caso il Male ha preso possesso delle Cascine, e il Bene sono i gendarmi che le redimeranno.
Il Male si manifesta sottoforma di brutte facce in giro. Una cosa intollerabile in un "Occidente" in cui è stato profuso molto impegno per criminalizzare chiunque non rispetti determinati criteri estetici e non si esibisca in comportamenti di consumo vidimati e approvati.
Il Male si manifesta sottoforma di transazioni commerciali. Derivati dalla Cannabis Indica, dal papavero da oppio, dallo Erythroxylum Coca e prodotti di sintesi di vario genere. A domanda corrisponde offerta, ma in questo caso lasciare libertà d'azione alla mano invisibile del mercato risulta, chissà perché, inammissibile.
Il Male si manifesta, ma nemmeno tanto spesso, sottoforma di overdose letale o di qualche altra delle miserabili conclusioni che attendono l'esistenza di chi vive in quelle condizioni di marginalità estrema che l'"Occidente" promuove attivamente in ogni contesto. Si erige a dogma l'ingiustizia sociale ma si invoca il Bene affinché provveda a togliere dalla vista le sue conseguenze più ovvie.
E il Bene è fatto di controllo tecnologico. Le tecnologie ritenute migliori vengono dallo stato sionista: a suo modo è una garanzia anche questa.
Il Bene è fatto di divieti tra il serio e il criceto [sic]. Alle Cascine praticamente è vietato tutto. In compenso quando ci sono concerti di qualche grattacorde strapagato ti è graziosamente data facoltà di pagare dieci euro una lattina di birra.
Il Bene è fatto di gendarmi. Sempre figli dei poveri, sempre malpagati. Poi viene fuori che hanno due sindacalisti per metro quadro -con accesso privilegiato alle gazzette- e contratti che il rimanente del pubblico impiego non si sogna neppure, ma lasciamo pure da parte questi dettagli.
Insomma, il 19 maggio 2022 alle nove del mattino un tale decide di recarsi alle Cascine in scooter. Arriva nelle vicinanze della fermata "Cascine Carlo Monni" della tramvia, una cinquantina di metri di agorà dove per buona parte della giornata fervono trattazioni e transazioni commerciali del tipo su accennato. Qui inizia una veemente discussione con qualcuno, nel corso della quale spara due colpi di pistola senza colpire nessuno.
Non un campione di tiro. E nemmeno un gran che nel disimpegno dagli scontri a fuoco, visto che viene arrestato in capo a qualche ora. Si viene a sapere che a sparare è stato un gendarme di quarantasette anni. L'arma di ordinanza di cui si era servito è capace di quindici colpi e in mani minimamente determinate di morti avrebbe potuto farne parecchi. Si viene a sapere anche qualche altra cosa sul come e sul perché. Tutti particolari su cui si avrà la delicatezza di sorvolare dal momento che non facciamo i gazzettieri, visto soprattutto l'epilogo della vicenda. Uno degli innumerevoli casi in cui l'esecutivo dello stato che occupa la penisola italiana ha dimostrato di fatto di non essere in grado di mandare avanti nemmeno una galera.
I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un diciottesimo partecipante al caso, che aveva partecipato alla gestione di queste risorse, è stato condannato. Come osservato dal direttore dell’FBI Kash Patel, l’operazione è stata uno degli attacchi più massicci contro le reti per lo sfruttamento online dei minori. Ha sottolineato che le forze dell’ordine non solo hanno distrutto l’infrastruttura digitale, ma hanno anche ottenuto la punizione di figure chiave, dimostrando che l’anonimato in rete non esonera dalle responsabilità.
L’operazione speciale, denominata GreySkull, ha già portato a 18 condanne per un totale di oltre 300 anni di carcere. Uno dei condannati, un 52enne residente in Minnesota, è stato condannato il giorno prima a oltre vent’anni di carcere per aver partecipato alla gestione dei siti. Secondo l’agenzia, i siti chiusi presentavano contenuti particolarmente sofisticati: singole sezioni erano dedicate a neonati e bambini piccoli e includevano anche scene di violenza, azioni sadiche e torture.
Tra i condannati, una persona ha patteggiato per associazione a delinquere finalizzata alla distribuzione e alla promozione di materiale pedopornografico. Si è unito a una delle community nel 2022, diventandone poi moderatore. Tra le sue responsabilità rientravano l’applicazione delle “regole” per i post e la consulenza agli altri utenti, su come proteggersi dai controlli delle forze dell’ordine. I documenti del tribunale indicano che ha insegnato tecniche di mimetizzazione e l’uso di strumenti di anonimizzazione.
Altre otto persone sono state condannate nel Distretto Meridionale della Florida per aver coordinato il sito principale. Gli imputati tenevano riunioni interne, registri del materiale pubblicato per autore ed erano responsabili della gestione dei server. Alcuni sono stati inoltre accusati di aver partecipato a un gruppo organizzato che sfruttava sessualmente minori.
Secondo il Dipartimento di Giustizia, gli imputati provenivano da tutti gli Stati Uniti, tra cui Alabama, Indiana, Nevada, Carolina del Nord, Oklahoma e Stato di Washington. Le condanne sono andate dai cinque anni all’ergastolo e alle vittime è stato imposto un risarcimento da 7.500 a 174.500 dollari.
Oltre agli Stati Uniti, arresti nell’ambito dell’operazione hanno avuto luogo in diversi altri paesi, tra cui Regno Unito, Paesi Bassi, Italia, Germania, Belgio, Estonia e Sudafrica. Due dei presunti partecipanti sarebbero morti prima che potessero essere formulate accuse formali. Sebbene non sia stato reso noto il momento esatto in cui è iniziata l’indagine, l’iniziativa è considerata parte del programma federale Project Safe Childhood, attivo dal 2006 e finalizzato a contrastare crimini brutali di questo tipo.
L'articolo I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili proviene da il blog della sicurezza informatica.
I Criminal Hacker rivendicano un attacco alla Naval Group. 72 ore per pagare il riscatto
Il più grande costruttore navale francese per la difesa, Naval Group, sta affrontando un incidente di sicurezza informatica potenzialmente grave a seguito delle affermazioni degli autori della minaccia che riportano di aver compromesso sistemi interni critici, compresi quelli legati alle operazioni navali militari francesi.
Gli hacker hanno pubblicato la presunta violazione su un noto forum specializzato in fughe di dati, sostenendo di aver avuto accesso a materiale sensibile come il codice sorgente dei sistemi di gestione del combattimento (CMS) utilizzati nei sottomarini e nelle fregate francesi. Gli aggressori non mirano a vendere i dati rubati, ma a estorcere denaro all’appaltatore della difesa, minacciando di divulgare informazioni riservate se le loro richieste non saranno soddisfatte.
Naval Group, con sede a Parigi e oltre 15.000 dipendenti, è un importante fornitore di soluzioni navali di livello militare in tutta Europa. Con un fatturato annuo superiore a 5 miliardi di dollari (4,3 miliardi di euro), l’azienda è di proprietà congiunta del governo francese e del gigante dell’elettronica per la difesa Thales Group.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Di seguito il post tradotto in lingua italiana presente all’interno del forum underground.
la perdita completa contiene:
- CMS top secret classificato per sottomarini e fregate disponibile con codice sorgente + guida utente per l'implementazione infrastrutturale (è necessario un server di grandi dimensioni per eseguire l'intero CMS)
- Dati di rete in base ai sottomarini e alle fregate
- Documenti tecnici DCN/DCNS/ Naval Group con diversi tipi di classificazione, "Distribuzione limitata", "Francia speciale", ecc. I documenti iniziano dal 2006, ma principalmente dal 2019 al 2024.
- VM degli sviluppatori con diversi simulatori della marina al loro interno
- Scambi riservati intercettati tramite la loro messaggistica interna HCL Notes
Naval Group ha 72 ore per contattarmi.
Dopo questa scadenza, farò trapelare tutto gratuitamente 
Cosa sostengono gli hacker di aver rubato al Naval Group
Secondo il post condiviso dai criminali informatici, durante la violazione sarebbe stato effettuato l’accesso ai seguenti asset:
- Codice sorgente che alimenta il CMS di sottomarini e fregate
- Topologia della rete interna e dati di rete correlati
- Documenti tecnici etichettati con diversi livelli di sensibilità
- Ambienti di macchine virtuali per sviluppatori
- Comunicazioni interne riservate
Gli aggressori hanno anche incluso nel loro post un campione di dati di 13 GB come prova. Tra i file trapelati ci sono risorse multimediali, tra cui anche dei video.
Implicazioni per la sicurezza nazionale
La prospettiva che soggetti stranieri o gruppi criminali possano ottenere accesso al software che governa i sistemi di combattimento a bordo di navi militari operative è estremamente allarmante. Se confermata, la divulgazione del codice sorgente e della documentazione riservata del CMS (Combat Management System) non solo comprometterebbe l’integrità tecnologica di Naval Group, ma costringerebbe anche il Ministero delle Forze Armate francese a costosi interventi correttivi, tra cui audit di sicurezza, aggiornamenti dei sistemi e verifiche approfondite.
Sebbene la reale entità dei danni e la portata della violazione non siano ancora stati verificati, è noto che gli aggressori mossi da finalità estorsive tendono a sovrastimare il valore e l’impatto delle informazioni sottratte, per aumentare la pressione psicologica e finanziaria sulle vittime. Resta da capire se questo sia uno di quei casi.
Fondato nel XVII secolo e precedentemente noto come DCN (Direction des Constructions Navales), Naval Group occupa da sempre un ruolo centrale nella strategia di difesa marittima francese. L’azienda ha realizzato, tra l’altro, l’unica portaerei francese a propulsione nucleare, la Charles de Gaulle, a testimonianza della sua importanza strategica per le capacità difensive del Paese.
Una compromissione dell’infrastruttura digitale di Naval Group non si limiterebbe a esporre dati operativi sensibili, ma evidenzierebbe anche la crescente vulnerabilità degli appaltatori militari di alto profilo in Europa. L’esito di questa possibile violazione, se confermata, potrebbe avere conseguenze rilevanti e durature sulla sicurezza nazionale francese e sulla strategia industriale di cybersecurity.
L'articolo I Criminal Hacker rivendicano un attacco alla Naval Group. 72 ore per pagare il riscatto proviene da il blog della sicurezza informatica.
ToolShell: a story of five vulnerabilities in Microsoft SharePoint
On July 19–20, 2025, various security companies and national CERTs published alerts about active exploitation of on-premise SharePoint servers. According to the reports, observed attacks did not require authentication, allowed attackers to gain full control over the infected servers, and were performed using an exploit chain of two vulnerabilities: CVE-2025-49704 and CVE-2025-49706, publicly named “ToolShell”. Additionally, on the same dates, Microsoft released out-of-band security patches for the vulnerabilities CVE-2025-53770 and CVE-2025-53771, aimed at addressing the security bypasses of previously issued fixes for CVE-2025-49704 and CVE-2025-49706. The release of the new, “proper” updates has caused confusion about exactly which vulnerabilities attackers are exploiting and whether they are using zero-day exploits.
Kaspersky products proactively detected and blocked malicious activity linked to these attacks, which allowed us to gather statistics about the timeframe and spread of this campaign. Our statistics show that widespread exploitation started on July 18, 2025, and attackers targeted servers across the world in Egypt, Jordan, Russia, Vietnam, and Zambia. Entities across multiple sectors were affected: government, finance, manufacturing, forestry, and agriculture.
While analyzing all artifacts related to these attacks, which were detected by our products and public information provided by external researchers, we found a dump of a POST request that was claimed to contain the malicious payload used in these attacks. After performing our own analysis, we were able to confirm that this dump indeed contained the malicious payload detected by our technologies, and that sending this single request to an affected SharePoint installation was enough to execute the malicious payload there.
Our analysis of the exploit showed that it did rely on vulnerabilities fixed under CVE-2025-49704 and CVE-2025-49706, but by changing just one byte in the request, we were able to bypass those fixes.
In this post, we provide detailed information about CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, and one related vulnerability. Since the exploit code is already published online, is very easy to use, and poses a significant risk, we encourage all organizations to install the necessary updates.
The exploit
Our research started with an analysis of a POST request dump associated with this wave of attacks on SharePoint servers.
Snippet of the exploit POST request
We can see that this POST request targets the “/_layouts/15/ToolPane.aspx” endpoint and embeds two parameters: “MSOtlPn_Uri” and “MSOtlPn_DWP”. Looking at the code of ToolPane.aspx, we can see that this file itself does not contain much functionality and most of its code is located in the ToolPane class of the Microsoft.SharePoint.WebPartPages namespace in Microsoft.SharePoint.dll. Looking at this class reveals the code that works with the two parameters present in the exploit. However, accessing this endpoint under normal conditions is not possible without bypassing authentication on the attacked SharePoint server. This is where the first Microsoft SharePoint Server Spoofing Vulnerability CVE-2025-49706 comes into play.
CVE-2025-49706
This vulnerability is present in the method PostAuthenticateRequestHandler, in Microsoft.SharePoint.dll. SharePoint requires Internet Information Services (IIS) to be configured in integrated mode. In this mode, the IIS and ASP.NET authentication stages are unified. As a result, the outcome of IIS authentication is not determined until the PostAuthenticateRequest stage, at which point both the ASP.NET and IIS authentication methods have been completed. Therefore, the PostAuthenticateRequestHandler method utilizes a series of flags to track potential authentication violations. A logic bug in this method enables an authentication bypass if the “Referrer” header of the HTTP request is equal to “/_layouts/SignOut.aspx”, “/_layouts/14/SignOut.aspx”, or “/_layouts/15/SignOut.aspx” using case insensitive comparison.
Vulnerable code in PostAuthenticateRequestHandler method (Microsoft.SharePoint.dll version 16.0.10417.20018)
The code displayed in the image above handles the sign-out request and is also triggered when the sign-out page is specified as the referrer. When flag6 is set to false and flag7 is set to true, both conditional branches that could potentially throw an “Unauthorized Access” exception are bypassed.
Unauthorized access checks bypassed by the exploit
On July 8, 2025, Microsoft released an update that addressed this vulnerability by introducing additional checks to detect the usage of the “ToolPane.aspx” endpoint with the sign-out page specified as the referrer.
CVE-2025-49706 fix (Microsoft.SharePoint.dll version 16.0.10417.20027)
The added check uses case insensitive comparison to verify if the requested path ends with “ToolPane.aspx”. Is it possible to bypass this check, say, by using a different endpoint? Our testing has shown that this check can be easily bypassed.
CVE-2025-53771
We were able to successfully bypass the patch for vulnerability CVE-2025-49706 by adding just one byte to the exploit POST request. All that was required to bypass this patch was to add a “/” (slash) to the end of the requested “ToolPane.aspx” path.
Bypass for CVE-2025-49706 fix
On July 20, 2025, Microsoft released an update that fixed this bypass as CVE-2025-53771. This fix replaces the “ToolPane.aspx” check to instead check whether the requested path is in the list of paths allowed for use with the sign-out page specified as the referrer.
CVE-2025-53771 fix (Microsoft.SharePoint.dll version 16.0.10417.20037)
This allowlist includes the following paths: “/_layouts/15/SignOut.aspx”, “/_layouts/15/1033/initstrings.js”, “/_layouts/15/init.js”, “/_layouts/15/theming.js”, “/ScriptResource.axd”, “/_layouts/15/blank.js”, “/ScriptResource.axd”, “/WebResource.axd”, “/_layouts/15/1033/styles/corev15.css”, “/_layouts/15/1033/styles/error.css”, “/_layouts/15/images/favicon.ico”, “/_layouts/15/1033/strings.js”, “/_layouts/15/core.js”, and it can contain additional paths added by the administrator.
While testing the CVE-2025-49706 bypass with the July 8, 2025 updates installed on our SharePoint debugging stand, we noticed some strange behavior. Not only did the bypass of CVE-2025-49706 work, but the entire exploit chain did! But wait! Didn’t the attackers use an additional Microsoft SharePoint Remote Code Execution Vulnerability CVE-2025-49704, which was supposed to be fixed in the same update? To understand why the entire exploit chain worked in our case, let’s take a look at the vulnerability CVE-2025-49704 and how it was fixed.
CVE-2025-49704
CVE-2025-49704 is an untrusted data deserialization vulnerability that exists due to improper validation of XML content. Looking at the exploit POST request, we can see that it contains two URL encoded parameters: “MSOtlPn_Uri” and “MSOtlPn_DWP”. We can see how they are handled by examining the code of the method GetPartPreviewAndPropertiesFromMarkup in Microsoft.SharePoint.dll. A quick analysis reveals that “MSOtlPn_Uri” is a page URL that might be pointing to an any file in the CONTROLTEMPLATES folder and the parameter “MSOtlPn_DWP” contains something known as WebPart markup. This markup contains special directives that can be used to execute safe controls on a server and has a format very similar to XML.
WebPart markup used by the attackers
While this “XML” included in the “MSOtlPn_DWP” parameter does not itself contain a vulnerability, it allows attackers to instantiate the ExcelDataSet control from Microsoft.PerformancePoint.Scorecards.Client.dll with CompressedDataTable property set to malicious payload and trigger its processing using DataTable property getter.
Code of the method that handles the contents of ExcelDataSet’s CompressedDataTable property in the DataTable property getter
Looking at the code of the ExcelDataSet’s DataTable property getter in Microsoft.PerformancePoint.Scorecards.Client.dll, we find the method GetObjectFromCompressedBase64String, responsible for deserialization of CompressedDataTable property contents. The data provided as Base64 string is decoded, unzipped, and passed to the BinarySerialization.Deserialize method from Microsoft.SharePoint.dll.
DataSet with XML content exploiting CVE-2025-49704 (deserialized)
Attackers use this method to provide a malicious DataSet whose deserialized content is shown in the image above. It contains an XML with an element of dangerous type "System.Collections.Generic.List`1[[System.Data.Services.Internal.ExpandedWrapper`2[...], System.Data.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]" , which allows attackers to execute arbitrary methods with the help of the well-known ExpandedWrapper technique aimed at exploitation of unsafe XML deserialization in applications based on the .NET framework. In fact, this shouldn’t be possible, since BinarySerialization.Deserialize in Microsoft.SharePoint.dll uses a special XmlValidator designed to protect against this technique by checking the types of all elements present in the provided XML and ensuring that they are on the list of allowed types. However, the exploit bypasses this check by placing the ExpandedWrapper object into the list.
Now, to find out why the exploit worked on our SharePoint debugging stand with the July 8, 2025 updates installed, let’s take a look at how this vulnerability was fixed. In this patch, Microsoft did not really fix the vulnerability but only mitigated it by adding the new AddExcelDataSetToSafeControls class to the Microsoft.SharePoint.Upgrade namespace. This class contains new code that modifies the web.config file and marks the Microsoft.PerformancePoint.Scorecards.ExcelDataSet control as unsafe. Because SharePoint does not execute this code on its own after installing updates, the only way to achieve the security effect was to manually run a configuration upgrade using the SharePoint Products Configuration Wizard tool. Notably, the security guidance for CVE-2025-49704 does not mention the need for this step, which means at least some SharePoint administrators may skip it. Meanwhile, anyone who installed this update but did not manually perform a configuration upgrade remained vulnerable.
CVE-2025-53770
On July 20, 2025, Microsoft released an update with a proper fix for the CVE-2025-49704 vulnerability. This patch introduces an updated XmlValidator that now properly validates element types in XML, preventing exploitation of this vulnerability without requiring a configuration upgrade and, more importantly, addressing the root cause and preventing exploitation of the same vulnerability through controls other than Microsoft.PerformancePoint.Scorecards.ExcelDataSet.
Code of new type verifier in updated XmlValidator
CVE-2020-1147
Readers familiar with previous SharePoint exploits might feel that the vulnerability CVE-2025-49704/CVE-2025-53770 and the exploit used by the attackers looks very familiar and very similar to the older .NET Framework, SharePoint Server, and Visual Studio Remote Code Execution Vulnerability CVE-2020-1147. In fact, if we compare the exploit for CVE-2020-1147 and an exploit for CVE-2025-49704/CVE-2025-53770, we can see that they are almost identical. The only difference is that in the exploit for CVE-2025-49704/CVE-2025-53770, the dangerous ExpandedWrapper object is placed in the list. This makes CVE-2025-53770 an updated fix for CVE-2020-1147.
DataSet with XML content exploiting CVE-2020-1147
Conclusions
Despite the fact that patches for the ToolShell vulnerabilities are now available for deployment, we assess that this chain of exploits will continue being used by attackers for a long time. We have been observing the same situation with other notorious vulnerabilities, such as ProxyLogon, PrintNightmare, or EternalBlue. While they have been known for years, many threat actors still continue leveraging them in their attacks to compromise unpatched systems. We expect the ToolShell vulnerabilities to follow the same fate, as they can be exploited with extremely low effort and allow full control over the vulnerable server.
To stay better protected against threats like ToolShell, we as a community should learn lessons from previous events in the industry related to critical vulnerabilities. Specifically, the speed of applying security patches nowadays is the most important factor when it comes to fighting such vulnerabilities. Since public exploits for these dangerous vulnerabilities appear very soon after vulnerability announcements, it is paramount to install patches as soon as possible, as a gap of even a few hours can make a critical difference.
At the same time, it is important to protect enterprise networks against zero-day exploits, which can be leveraged when there is no available public patch for vulnerabilities. In this regard, it is critical to equip machines with reliable cybersecurity solutions that have proven effective in combatting ToolShell attacks before they were publicly disclosed.
Kaspersky Next with its Behaviour detection component proactively protects against exploitation of these vulnerabilities. Additionally, it is able to detect exploitation and the subsequent malicious activity.
Kaspersky products detect the exploits and malware used in these attacks with the following verdicts:
- UDS:DangerousObject.Multi.Generic
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- HEUR:Trojan.MSIL.Agent.gen
- ASP.Agent.*
- PowerShell.Agent.*
Reachy The Robot Gets a Mini (Kit) Version
Reachy Mini is a kit for a compact, open-source robot designed explicitly for AI experimentation and human interaction. The kit is available from Hugging Face, which is itself a repository and hosting service for machine learning models. Reachy seems to be one of their efforts at branching out from pure software.
Reachy Mini is intended as a development platform, allowing people to make and share models for different behaviors, hence the Hugging Face integration to make that easier. On the inside of the full version is a Raspberry Pi, and we suspect some form of Stewart Platform is responsible for the movement of the head. There’s also a cheaper (299 USD) “lite” version intended for tethered use, and a planned simulator to allow development and testing without access to a physical Reachy at all.
Reachy has a distinctive head and face, so if you’re thinking it looks familiar that’s probably because we first covered Reachy the humanoid robot as a project from Pollen Robotics (Hugging Face acquired Pollen Robotics in April 2025.)
The idea behind the smaller Reachy Mini seems to be to provide a platform to experiment with expressive human communication via cameras and audio, rather than to be the kind of robot that moves around and manipulates objects.
It’s still early in the project, so if you want to know more you can find a bit more information about Reachy Mini at Pollen’s site and you can see Reachy Mini move in a short video, embedded just below.
youtube.com/embed/JvdBJZ-qR18?…
Digital Networks Act: Dieses Internet der Zukunft wünschen sich die mächtigen Telekom-Konzerne
netzpolitik.org/2025/digital-n…
È uscito il nuovo numero di The Post Internazionale. Da oggi potete acquistare la copia digitale
@Politica interna, europea e internazionale
È uscito il nuovo numero di The Post Internazionale. Il magazine, disponibile già da ora nella versione digitale sulla nostra App, e da domani, venerdì 25 luglio, in tutte le edicole, propone ogni due settimane inchieste e approfondimenti sugli affari e il
Politica interna, europea e internazionale reshared this.
La Knesset vota l’annessione della Cisgiordania. A Gaza già 115 morti per fame
@Notizie dall'Italia e dal mondo
Una mozione non vincolante chiede l'annessione della Cisgiordania, mentre a Gaza si muore di fame e sotto le bombe israeliane
pagineesteri.it/2025/07/24/med…
Notizie dall'Italia e dal mondo reshared this.
Il #Caucaso secondo Washington
Il Caucaso secondo Washington
L’amministrazione Trump sembra avere rotto gli indugi nei giorni scorsi inserendosi apertamente negli intrighi strategici in corso nel Caucaso meridionale con una proposta in apparenza neutrale, ma che rivela finalmente le mire di Washington in quest…www.altrenotizie.org
LeBron James' Lawyers Send Cease-and-Desist to AI Company Making Pregnant Videos of Him
Viral Instagram accounts making LeBron x27;brainrotx27; videos have also been banned.#AISlop
LeBron James' Lawyers Send Cease-and-Desist to AI Company Making Pregnant Videos of Him
Viral Instagram accounts making LeBron 'brainrot' videos have also been banned.Jason Koebler (404 Media)
Mi prende un po' in contropiede perché so che la vuole appendere fuori.
È chiaro che nonostante non ami particolarmente le bandiere trovo che sia una cosa giusta manifestare, anche con un piccolo gesto simbolico, la nostra vicinanza alla causa di un popolo vittima di #genocidio.
Vengo però assalito da un brutto pensiero: e se qualcuno ci viene a rompere le palle per sta cosa?
La prima cosa che penso è che questo qualcuno possa avere la divisa e che la mia dolce metà (con la piccola appresso) si ritrovi a gestire una situazione complicata. Nella mia città stranamente non ci sono bandiere della Palestina esposte.
Ci mettiamo a parlare di questa cosa che ho pensato e un po' ci riempiamo di tristezza. Magari sono io che mi faccio mille paranoie. Prima di addormentaci ieri le ho detto che preferirei essere a casa per un po' di giorni quando facciamo sta cosa.
Lei giustamente mi dice che non si può più aspettare.
Stasera la metteremo fuori.
Solo il fatto di aver pensato che fare un gesto così semplice e innocente possa portarci problemi mi fa stare abbastanza male.
Vedremo come andrà e speriamo di essere solo un fifone!
like this
Ministero dell'Istruzione
#PNRR, il Ministro Giuseppe Valditara ha firmato il decreto che assegna 130 milioni di euro di risorse residue agli Istituti Tecnologici Superiori (ITS Academy), per il potenziamento e la realizzazione di nuovi laboratori didattici altamente innovati…Telegram
reshared this
Verifica dell’età dei minori è la soluzione sbagliata ad un problema che non esiste.
@Privacy Pride
Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/eta/
In questi giorni l'UE sta sperimentando un sistema per la verifica della maggiore età necessaria per l'accesso a determinati siti, vietati ai minori. L'Italia, al grido "Eia, Eia! Alalà!", è balzata in prima linea nella sperimentazione.
reshared this
Tre anni dopo. Draghi telefonò ma non gli passarono Berlusconi
@Politica interna, europea e internazionale
Il 21 luglio del 2022 fui l’unico senatore di tutto il centrodestra a prendere la parola in Aula per confermare la fiducia a Mario Draghi. Lo rifarei. Lo rifarei perché mandare improvvisamente a casa l’uomo che a detta anche di chi decise di sfiduciarlo stava “salvando l’Italia” e
Politica interna, europea e internazionale reshared this.
Zee, l’Italia inizia a fare sistema sul fronte marittimo. Il commento di Caffio
@Notizie dall'Italia e dal mondo
Il Consiglio dei ministri, su proposta del ministro degli Affari esteri, ha approvato in via preliminare uno schema di Decreto del Presidente della Repubblica, che prevede la parziale istituzione di una zona economica esclusiva (Zee) in parte delle acque circostanti il mare
Notizie dall'Italia e dal mondo reshared this.
Scontri e bombardamenti al confine tra Thailandia e Cambogia
@Notizie dall'Italia e dal mondo
Scontri armati e schermaglie diplomatiche tra Cambogia e Thailandia impegnate in una lunga contesa sulla demarcazione della frontiera tracciata dai colonizzatori francesi
L'articolo Scontri ehttps://pagineesteri.it/2025/07/24/asia/scontri-e-bombardamenti-al-confine-tra-thailandia-e-cambogia/
Notizie dall'Italia e dal mondo reshared this.
Cosa c’è nel Piano d’azione di Trump per l’intelligenza artificiale made in Usa
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
L'amministrazione Trump ha pubblicato l'Ai Action Plan, un documento che punta a garantire il primato degli Stati Uniti sull'intelligenza artificiale. Il piano fa contenti i produttori di microchip e le
Informatica (Italy e non Italy 😁) reshared this.
freezonemagazine.com/news/in-a…
La scorsa settimana, Stevie Nicks e Lindsey Buckingham hanno condiviso messaggi corrispondenti sui social. “E se vai avanti…” Nicks ha postato, citando un testo di Frozen Love, una canzone apparsa nel mitico album Buckingham Nicks del 1973, che lei e Buckingham pubblicarono appena due anni prima di unirsi ai Fleetwood Mac. Il post di Buckingham […]
La digitalizzazione dei comuni e il Pnrr: non è tutto oro quello che luccica
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
È il momento giusto per ripensare a come procedere alla digitalizzazione delle nostre amministrazioni. L'intervento di Massimo Balducci.
Informatica (Italy e non Italy 😁) reshared this.
Riflessioni sull’ingiustizia
@Giornalismo e disordine informativo
articolo21.org/2025/07/rifless…
Una riflessione sulla riforma della Giustizia anche fuori dal Parlamento, per ascoltare chi la dovrà applicare, chi ne ha approfondito l’impatto sull’ordinamento e la “messa a terra” sul fronte dell’applicazione giudiziaria. La legge che la maggioranza di Governo definisce “solo” come la
Giornalismo e disordine informativo reshared this.
Zelensky accentra i poteri e imbavaglia le agenzie anticorruzione
@Notizie dall'Italia e dal mondo
Proteste in Ucraina contro una legge che mette due organismi anticorruzione sotto il controllo del presidente mentre si moltiplicano le intimidazioni contro chi critica il governo
L'articolo Zelensky accentra i poteri e imbavaglia le agenzie anticorruzione proviene da Pagine
Notizie dall'Italia e dal mondo reshared this.
Massimo
in reply to djpanini • • •djpanini likes this.
djpanini
in reply to Massimo • •Razionalizziamo paure irrazionali ed esorcizziamo paure razionali. Anche scrivere qui fa parte di questo processo. Avere paura non è una colpa. Spesso è solo frutto di un clima di tensione creato ad hoc. Un abbraccio!