Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Hacker incappucciati circondano il logo Windows luminoso con la scritta "Active Directory", in un ambiente cybernatico pieno di codici e lucchetti.

Allarme Microsoft: 0day in Active Directory sotto attacco apre la strada al ransomware

15 Luglio 2026 12:17
In sintesi

Microsoft ha corretto la vulnerabilità CVE-2026-56155, un bug di Privilege Escalation che interessa Active Directory Federation Services (AD FS) ed è già sfruttato in attacchi reali. Il difetto consente a un utente autenticato con privilegi limitati di ottenere diritti amministrativi, mettendo a rischio server di autenticazione, infrastrutture di identità e reti aziendali. L'azienda raccomanda di installare immediatamente gli aggiornamenti di sicurezza di luglio 2026.

Microsoft ha rilasciato aggiornamenti di sicurezza per il bug monitorato con il codice CVE-2026-56155. Si tratta di una una vulnerabilità attivamente sfruttata di Privilege Escalation in Active Directory Federation Services (AD FS). Il difetto consente a un attaccante autenticato locale con privilegi bassi, di ottenere accesso amministrativo su sistemi colpiti.

Il bug deriva da un’insufficiente controllo degli accessi all’interno di AD FS, un servizio Microsoft comunemente utilizzato per l’autenticazione federata e il single sign-on.

Microsoft ha classificato la vulnerabilità come “High” e confermato che lo sfruttamento è stato osservato in attacchi attivi. Il punteggio base CVSS 3.1 è di 7,8, con una valutazione che indica la presenza di codice PoC distribuito online e funzionante. Il vettore di attacco è locale, richiede bassa complessità, privilegi bassi e nessuna interazione utente.

Advertising

Una volta che il bug è stato sfruttatocon successo, permette agli attaccanti di ottenere privilegi amministrativi. Questo rende la vulnerabilità particolarmente critica negli ambienti aziendali dove l’infrastruttura AD FS si collega a domini Active Directory, servizi di identità e applicazioni sensibili.

I server AD FS sono obiettivi primari poiché elaborano richieste di autenticazione e rilasciano token di sicurezza per l’accesso ai servizi aziendali.

Un attaccante con accesso amministrativo locale a un server AD FS potrebbe modificare le impostazioni di federazione, accedere a materiali sensibili, disattivare controlli di sicurezza o utilizzare il sistema compromesso come punto di partenza per ulteriori intrusioni nella rete o come ponte per il lancio di ransomware.

La debolezza è classificata sotto CWE-1220, e riguarda un insufficiente granularità del controllo degli accessi.

Microsoft ha pubblicato le correzioni per diverse versioni di Windows che sono state colpite il 14 luglio 2026, inclusi Windows Server 2012, 2012 R2, 2016, 2019, 2022 e 2025, insieme a distribuzioni rilevanti di Server Core. Gli aggiornamenti sono disponibili anche per vecchie versioni come Windows 1, i quali condividono componenti della piattaforma interessati. Anche il CISA degli Stati Uniti D’America ha emesso un bollettino di alert relativamente a questo bug di sicurezza.

Advertising

Le organizzazioni che utilizzano AD FS devono dare massima priorità all’installazione degli aggiornamenti di sicurezza di luglio di Microsoft, soprattutto sui server di federazione esposti a utenti amministratori o collegati a infrastrutture critiche di identità.

Microsoft ha accreditato Jeremy Kingston e Scott Clark del suo Detection and Response Team (DART) per aver segnalato questo importante problema di sicurezza. L’azienda non ha reso pubblici i dettagli dell’attacco. Questo potrebbe dare ai difensori ulteriore tempo per applicare le patch di sicurezza.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response