Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Succede spesso con le vulnerabilità più insidiose.
Questo genere di bug non fa rumore, non mandano giù il sistema, ma aprono una porta che non dovrebbe essere aperta. È il caso della CVE-2026-21262, una debolezza scoperta in SQL Server che riguarda la gestione dei permessi.
Non è il classico problema da exploit remoto immediato. Un utente già autenticato potrebbe sfruttare un difetto nel controllo degli accessi e ottenere privilegi superiori rispetto a quelli previsti inizialmente.
La vulnerabilità rientra nella categoria “Elevation of Privilege”. In parole semplici, qualcuno con accesso al sistema potrebbe riuscire a salire di livello nei permessi disponibili nota anche LPE (Local Privilege Escalation).
Il problema è legato alla debolezza classificata come CWE-284, cioè una gestione non corretta delle autorizzazioni. Il punteggio CVSS assegnato è 8.8, un valore che indica un rischio elevato.
Come potrebbe essere sfruttata?
Secondo le informazioni disponibili, un attaccante autenticato con privilegi limitati e permessi espliciti sul server SQL potrebbe eseguire operazioni che gli consentono di ottenere diritti più ampi all’interno dell’ambiente database. Non significa automaticamente ottenere il massimo livello amministrativo, anche se il salto di privilegi può comunque compromettere l’integrità del sistema.
E qui vale la pena fermarsi un attimo.
Quanti ambienti di produzione danno per scontato che un account interno sia sempre innocuo?
Quanti fanno controlli di sicurezza per verificare, cosa potrebbe vedere un utente non privilegiato se sfruttasse una vulnerabilità come questa?
La vulnerabilità è classificata con vettore di attacco locale. Questo dettaglio è interessante, perché spesso viene interpretato male. Nel contesto SQL Server, “locale” non significa necessariamente che l’attaccante debba essere seduto davanti alla macchina fisica. Più realisticamente indica che deve avere la possibilità di eseguire query o codice in un contesto dove il server è accessibile e dove dispone già di credenziali valide.
In altre parole, il punto di partenza è sempre un accesso tramite rete ma con privilegi ridotti.
Da lì, sfruttando il difetto nei controlli di accesso, si potrebbe arrivare a permessi più elevati all’interno del sistema.
Le versioni di SQL Server interessate includono SQL Server 2025, SQL Server 2022, SQL Server 2019 e SQL Server 2017. Per ridurre il rischio è necessario installare gli aggiornamenti di sicurezza messi a disposizione per ciascun ramo del prodotto. Le patch vengono distribuite tramite due percorsi di aggiornamento: GDR e Cumulative Update.
Le release GDR contengono solo aggiornamenti di sicurezza per una determinata baseline, mentre i pacchetti CU includono sia correzioni funzionali sia patch di sicurezza cumulative. Gli amministratori devono quindi verificare la build del proprio SQL Server prima di scegliere il pacchetto corretto.
La vulnerabilità è stata pubblicata il 10 marzo 2026 da Microsoft, che ha rilasciato i relativi aggiornamenti di sicurezza per le versioni supportate del database server.
Per la community di Red Hot Cyber, questa vicenda ricorda che i controlli in white box risultano essenziali in fase di penetration test. Le escalation di privilegi non partono quasi mai da zero. Partono da un accesso minimo già presente nel sistema.
E quando i controlli sugli account interni vengono sottovalutati, anche una vulnerabilità apparentemente “locale” può trasformarsi in un serio problema operativo.
