Lunedi 06 Luglio 2026 15:55:28 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilità e gestione delle patch

CISA segnala una RCE in SharePoint mentre lo sfruttamento attivo supera il Patch Day

Pubblicato: 02 Luglio 2026 14:34Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: NEONPALADIN

Una correzione Microsoft di maggio è già diventata un problema di difesa reale, con registri pubblici delle vulnerabilità che indicano un difetto ad alta gravità su server SharePoint ora sotto attacco.

Microsoft SharePoint non è di solito il punto da cui i difensori si aspettano che inizi la battaglia. Ma quando una vulnerabilità di esecuzione di codice remoto lato server passa dalla pubblicazione della patch allo sfruttamento attivo, il rischio cambia rapidamente. CISA ha avvertito che gli aggressori stanno iniziando a sfruttare il problema nel mondo reale, trasformando un normale ciclo di aggiornamento in un controllo urgente delle esposizioni per gli amministratori che eseguono SharePoint on-premises.

Fatti rapidi

  • Il problema riguarda Microsoft SharePoint Server ed è descritto come una vulnerabilità di esecuzione di codice remoto ad alta gravità.
  • Microsoft ha corretto la vulnerabilità a maggio, ma in seguito l'attività di sfruttamento è stata segnalata come attiva.
  • I registri pubblici delle vulnerabilità associano il problema a CVE-2026-45659 e a una debolezza di deserializzazione CWE-502.
  • CISA ha inserito la CVE nel proprio catalogo Known Exploited Vulnerabilities, segnalando una pressione di abuso nel mondo reale.
  • Il rischio pratico è l'esecuzione di codice lato server su un'infrastruttura di collaborazione che spesso contiene dati aziendali sensibili.

Perché questo tipo di bug conta

I registri tecnici descrivono il difetto come un problema di deserializzazione di dati non attendibili. In termini semplici, significa che un server può elaborare contenuti controllati dall'attaccante in modo da portare all'esecuzione di codice. Per i difensori, il dettaglio importante non è solo l'etichetta, ma la collocazione: si tratta di un problema del server SharePoint, il che significa che la superficie di attacco si trova vicino a documenti, flussi di lavoro, integrazioni di identità e altri servizi interni che spesso convergono attorno alla piattaforma.

I dati pubblici sulle vulnerabilità suggeriscono inoltre che il problema non è un fastidio di bassa entità. Il record collegato a CVE-2026-45659 gli attribuisce un punteggio di gravità elevato e lo colloca in una categoria che può influire contemporaneamente su riservatezza, integrità e disponibilità. Negli ambienti in cui SharePoint è esposto a Internet, questa combinazione può creare un percorso diretto da un singolo servizio difettoso a un rischio aziendale più ampio.

Il ritardo nelle patch diventa la vera minaccia

La parte più rivelatrice di questo caso è il tempismo. Un difetto corretto a maggio viene già considerato sfruttato attivamente entro luglio. Questo non prova che ogni server non aggiornato sia stato colpito, ma mostra quanto rapidamente il ritardo nell'applicazione delle patch possa diventare una responsabilità operativa. Una volta che un bug compare nel catalogo Known Exploited Vulnerabilities di CISA, i difensori dovrebbero presumere che ci sia un interesse degli attaccanti sufficiente a rendere la correzione urgente.

Al momento della pubblicazione, le informazioni pubbliche non hanno ancora stabilito in modo completo la causa tecnica radice, l'ambito totale degli utenti colpiti o se sistemi downstream siano stati compromessi. Le informazioni disponibili supportano un'analisi del rischio, non una conclusione definitiva sull'impatto più ampio.

Cosa dovrebbero cercare i team di sicurezza

Per gli amministratori, la risposta è semplice ma sensibile ai tempi: verificare che i server SharePoint siano aggiornati all'ultima cumulative update supportata e controllare che siano presenti eventuali pacchetti aggiuntivi richiesti da Microsoft. Se si sospetta una compromissione, le attività di ricerca dovrebbero concentrarsi su contenuti web sospetti, attività PowerShell insolite collegate ai processi worker di SharePoint e segni di strumenti di post-exploitation o di persistenza.

Più in generale, il caso mostra perché la gestione delle patch non sia più solo manutenzione ordinaria. Sulle piattaforme di collaborazione molto utilizzate, un singolo difetto lato server può diventare un punto di ingresso verso dati critici per il business e infrastrutture adiacenti. La lezione è semplice: quando una vulnerabilità raggiunge lo stato KEV, la domanda non è più se sia importante. La domanda è quanta esposizione rimane.

Conclusione

SharePoint ricorda che il software enterprise può passare da spina dorsale fidata a superficie di attacco urgente con poco preavviso. Una correzione pubblicata in un mese può diventare un problema di sfruttamento attivo nel successivo, soprattutto quando i difensori non riescono a chiudere abbastanza rapidamente la finestra di patching. Nella difesa informatica, la velocità non è un lusso. Fa parte del piano di controllo.

WIKICROOK

  • Esecuzione di codice remoto (RCE): Una vulnerabilità che consente a un attaccante di eseguire comandi su un sistema di destinazione da una posizione remota.
  • Deserializzazione: Il processo di conversione dei dati archiviati nuovamente in oggetti, che può essere pericoloso se l'input non è attendibile.
  • CVE: Un identificatore standardizzato usato per monitorare vulnerabilità di cybersecurity note pubblicamente.
  • Catalogo KEV di CISA: Un elenco di vulnerabilità che il governo statunitense ha identificato come attivamente sfruttate.
  • On-premises: Software installato ed eseguito sui server di proprietà di un'organizzazione anziché fornito come servizio cloud ospitato.