Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Il logo di Microsoft SharePoint in primo piano e la morte sullo sfondo con la falce all'interno di un datacenter.

10.000 server SharePoint vulnerabili esposti su internet. Il CISA avverte da Internet

16 Luglio 2026 08:09
In sintesi

La Cybersecurity and Infrastructure Agency degli Stati Uniti ha avvertito che quasi 10.000 server Microsoft SharePoint accessibili da Internet sono a rischio per tre nuove vulnerabilità: CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164. Gli hacker criminali stanno già sfruttando queste falle per aggirare l'autenticazione, infiltrarsi nei sistemi e installare malware.

La Cybersecurity and Infrastructure Agency degli Stati Uniti d’America (CISA), ha messo in guardia contro gli attacchi ai server SharePoint locali accessibili da Internet. Gli aggressori stanno già sfruttando tre vulnerabilità che consentono loro di aggirare l’autenticazione, infiltrarsi nei sistemi e installare malware.

Tutte le versioni locali supportate di SharePoint Server sono a rischio, incluse Subscription Edition, SharePoint Server 2019 e SharePoint Server 2016. Attacchi attivi sono stati visti sfruttare le vulnerabilità CVE-2026-32201 (6,5 Medio), CVE-2026-45659 (8,8 Alto) e CVE-2026-56164 (9.8 Critico).

Una volta violati, gli aggressori possono eseguire codice in remoto, rubare le chiavi di Internet Information Services e prendere piede nel sistema. L’accesso ottenuto consente di sviluppare di scaricare malware sui server compromessi. Dai dati di Shadowserver, ora ci sono quasi 10.000 server Microsoft SharePoint accessibili da Internet.

Advertising

Più di 800 di questi non sono protetti dalle vulnerabilità CVE-2026-32201 (6.5 Medium) e CVE-2026-45659 (8,8 Alto). Non è ancora noto quanti server siano vulnerabili al bug monitorato con il CVE-2026-56164 (9.8 Critico). Le statistiche possono includere anche esche create appositamente per monitorare le azioni degli aggressori.

Gli amministratori dovrebbero attivare l’interfaccia di scansione AMSI per ciascuna applicazione Web di SharePoint e, ove possibile, attivare la modalità di analisi del corpo completo della richiesta. AMSI e Microsoft Defender Antivirus riconoscono già i tentativi di aggirare l’autenticazione, eseguire codice in remoto e rubare segreti IIS protetti.

Prima di sostituire le chiavi IIS, è necessario individuare e rimuovere le tracce dell’intrusione. Se il programma di raccolta delle chiavi rimane nel sistema, gli aggressori soni in grado di rubare nuovi dati.

Microsoft consiglia di separare i server SharePoint in base al ruolo, lasciando aperti i servizi e le porte essenziali, chiudendo l’accesso all’amministrazione centrale e limitando le comunicazioni del database ai siti attendibili.

I server non devono essere esposti a Internet (come sempre riportiamo) e, se è richiesto l’accesso esterno, devono essere esposti dietro un server proxy inverso. In Web.config è necessario disabilitare la visualizzazione dei dettagli tecnici, ridurre l’elenco dei componenti consentiti e impostare restrizioni sui caricamenti di file.

Advertising

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response