La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti mercoledì ha aggiunto una falla di elevata gravità che ha avuto un impatto su Microsoft SharePoint Server al suo catalogo delle vulnerabilità sfruttate note (KEV), citando prove di sfruttamento attivo.
La vulnerabilità, tracciata come CVE-2026-45659 (punteggio CVSS: 8,8), è un caso di esecuzione di codice in modalità remota derivante dalla deserializzazione di dati non attendibili. Il problema è stato risolto da Microsoft a maggio 2026 per SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016.
Microsoft ha notato che un utente malintenzionato autenticato potrebbe attivare la vulnerabilità e che non richiede privilegi di amministratore o altri privilegi elevati. In un attacco basato sulla rete, un utente malintenzionato autenticato con un minimo di autorizzazioni potrebbe sfruttarlo per eseguire codice remoto su SharePoint Server.
Una serie di attacchi è stata attribuita a Storm-2603, un attore di minacce noto per aver distribuito il ransomware Warlock spesso sfruttando vulnerabilità note in server SharePoint locali dalla metà del 2025.
“In questo caso, l’accesso iniziale è stato probabilmente tentato attraverso una vulnerabilità separata, con richieste di file come win.ini e web.config, indicando la possibilità di includere file locali,” ha affermato Microsoft.
Dopo aver ottenuto l’accesso iniziale, si dice che l’autore della minaccia abbia distribuito strumenti come Velociraptor per combinare attività dannose con comportamenti amministrativi affidabili, oltre a stabilire più canali di accesso remoto tramite tunneling Cloudflare, Zoho Assist e connessioni Secure Shell (SSH) configurate tramite Visual Studio Code.
L’attacco ha inoltre aumentato i privilegi creando nuovi account di amministratore locale e di dominio, mentre un driver vulnerabile (“NSecKrnl.sys”) ha agito come canale per manomettere le protezioni di sicurezza degli endpoint per contribuire a ridurne la visibilità.
Contemporaneamente, Microsoft ha affermato di aver scoperto segni di un secondo attore di minacce non correlato che coesiste nello stesso ambiente utilizzando il sideload DLL e backdoor personalizzate, rendendo così l’attribuzione più difficile. Ulteriori indagini hanno rivelato che gli aggressori si erano spostati lateralmente oltre la prima rete in una seconda organizzazione, il che ha confermato che erano stati compromessi dalla stessa attività ransomware attribuita a Storm-2603.
“Microsoft SharePoint Server contiene una deserializzazione della vulnerabilità dei dati non attendibili che consente a un utente malintenzionato autorizzato di eseguire codice su una rete”, ha affermato CISA.
Secondo l’avviso del produttore di Windows, la falla è stata contrassegnata con la valutazione “Sfruttamento poco probabile”. Al momento non è noto come venga sfruttata la vulnerabilità, chi si nasconde dietro l’attività e quali siano gli obiettivi finali di questi sforzi.
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance