Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità di spoofing in Microsoft SharePoint Server, già sfruttata attivamente, espone dati sensibili e integrità delle informazioni. Senza autenticazione e con bassa complessità, rappresenta una minaccia concreta per le infrastrutture aziendali. Microsoft ha rilasciato aggiornamenti urgenti per mitigare il rischio.
Un bug di sicurezza, monitorato con il codice CVE-2026-32201 colpisce Microsoft Office SharePoint e nasce da un problema di validazione dell’input (codice CWE-20) e non richiede né autenticazione né interazione utente.
Secondo gli esperti di Microsoft, un attaccante può sfruttare questo bug di sicurezza per svolgere attacchi di spoofing attraverso la rete. Il punteggio dato al bug in scala CVSS è di 6.5 e potrebbe a prima vista sembrare contenuto, ma purtroppo inganna.
Infatti, nella realtà operativa, il rischio cresce in quanto sono conosciuti exploit funzionanti e sono stati rilevati degli attacchi che sfruttano proprio questo bug. Si parla quindi di una vulnerabilità già sfruttata nel mondo reale prima che venisse emessa la patch di sicurezza da parte di Microsoft.
| Codice CVE | Severity | Sintesi della vulnerabilità |
|---|---|---|
| CVE-2026-32201 | Important (6.5) | Spoofing remoto senza autenticazione tramite input non validato |
L’exploit che è stato rilevato negli attacchi attivi, permette un accesso parziale alle informazioni e non blocca i sistemi. La confidenzialità e l’integrità nella scala RID, risultano quindi compromesse, anche se a livello dello score emesso dal NIST risulta basso. Questa classificazione non racconta la storia completa, in quanto per l’esecuzione dell’exploit non è necessaria una autenticazione e quindi non sono necessarie particolari barriere a protezione del sistema.
Ricordiamo che SharePoint, è uno degli strumenti di collaborazione che sono più diffusi al mondo. Ovviamente tale diffusione lo rende un bersaglio privilegiato dove attori statali e gruppi criminali, lo vedono come un ottimo punto di ingresso in una rete.
Microsoft ha rilasciato il 14 aprile 2026 degli aggiornamenti di supporto che risolvono la vulnerabilità per tutte le versioni coinvolte:
Aggiornare il software quindi non è una opzione, ma una cosa urgente da fare quanto prima. Per verificare se il sistema è vulnerabile è possibile:
Al momento non sono forniti indicatori di compromissione (IoC) ma un dettaglio risulta essere interessante come detto in precedenza: l’exploit era noto in precedenza, segno che gli attacchi hanno preceduto la patch.
Le analisi e la pubblicazione sono attribuite a Microsoft, che ha confermato l’exploit attivo già prima del rilascio degli aggiornamenti.
