Microsoft ha rilasciato aggiornamenti di sicurezza per il bug monitorato con il codice CVE-2026-56155. Si tratta di una una vulnerabilità attivamente sfruttata di Privilege Escalation in Active Directory Federation Services (AD FS). Il difetto consente a un attaccante autenticato locale con privilegi bassi, di ottenere accesso amministrativo su sistemi colpiti.
Il bug deriva da un’insufficiente controllo degli accessi all’interno di AD FS, un servizio Microsoft comunemente utilizzato per l’autenticazione federata e il single sign-on.
Microsoft ha classificato la vulnerabilità come “High” e confermato che lo sfruttamento è stato osservato in attacchi attivi. Il punteggio base CVSS 3.1 è di 7,8, con una valutazione che indica la presenza di codice PoC distribuito online e funzionante. Il vettore di attacco è locale, richiede bassa complessità, privilegi bassi e nessuna interazione utente.
Una volta che il bug è stato sfruttatocon successo, permette agli attaccanti di ottenere privilegi amministrativi. Questo rende la vulnerabilità particolarmente critica negli ambienti aziendali dove l’infrastruttura AD FS si collega a domini Active Directory, servizi di identità e applicazioni sensibili.
I server AD FS sono obiettivi primari poiché elaborano richieste di autenticazione e rilasciano token di sicurezza per l’accesso ai servizi aziendali.
Un attaccante con accesso amministrativo locale a un server AD FS potrebbe modificare le impostazioni di federazione, accedere a materiali sensibili, disattivare controlli di sicurezza o utilizzare il sistema compromesso come punto di partenza per ulteriori intrusioni nella rete o come ponte per il lancio di ransomware.
La debolezza è classificata sotto CWE-1220, e riguarda un insufficiente granularità del controllo degli accessi.
Microsoft ha pubblicato le correzioni per diverse versioni di Windows che sono state colpite il 14 luglio 2026, inclusi Windows Server 2012, 2012 R2, 2016, 2019, 2022 e 2025, insieme a distribuzioni rilevanti di Server Core. Gli aggiornamenti sono disponibili anche per vecchie versioni come Windows 1, i quali condividono componenti della piattaforma interessati. Anche il CISA degli Stati Uniti D’America ha emesso un bollettino di alert relativamente a questo bug di sicurezza.
Le organizzazioni che utilizzano AD FS devono dare massima priorità all’installazione degli aggiornamenti di sicurezza di luglio di Microsoft, soprattutto sui server di federazione esposti a utenti amministratori o collegati a infrastrutture critiche di identità.
Microsoft ha accreditato Jeremy Kingston e Scott Clark del suo Detection and Response Team (DART) per aver segnalato questo importante problema di sicurezza. L’azienda non ha reso pubblici i dettagli dell’attacco. Questo potrebbe dare ai difensori ulteriore tempo per applicare le patch di sicurezza.
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response