// 1 CRITICAL · 2 CVE · 2 EXPLOIT NELLE ULTIME 24H
Microsoft ha confermato exploitation attiva di CVE-2026-58644 su SharePoint Server on-premises. CISA impone patch entro il 19 luglio 2026. La detection dipende solo

Microsoft ha pubblicato il 14 luglio 2026 l'advisory per CVE-2026-58644, una vulnerabilità di deserializzazione dati non attendibili in SharePoint Server on-premises con punteggio CVSS 9.8. Due giorni dopo, CISA ha inserito il difetto nel catalogo KEV con due date fissata al 19 luglio 2026. La finestra temporale è brevissima e le difese passive sono limitate: al momento della pubblicazione dell'analisi Rapid7 non risultano IOC network-based, il che sposta l'intero carico della detection sui controlli host-based.

Punti chiave
  • CVE-2026-58644 colpisce SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition con RCE non autenticato via rete.
  • Microsoft ha confermato exploitation attiva ("Exploitation Detected"); CISA ha aggiunto il difetto al KEV catalog il 16 luglio 2026 con scadenza patch al 19 luglio 2026.
  • Non emergono IOC network-based (IP, domini, URL) pubblicamente disponibili; la detection si concentra su firme AMSI e Microsoft Defender for Endpoint.
  • CISA raccomanda di non esporre SharePoint direttamente a Internet e di posizionare un reverse proxy Layer 7 a monte dell'infrastruttura.

Una catena di deserializzazione che non richiede credenziali

La vulnerabilità rientra nella classe CWE-502, deserializzazione di dati non attendibili. Secondo l'entry NVD, curata da Microsoft come CNA, il difetto consente a un attaccante non autorizzato di eseguire codice arbitrario via rete. Il vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H conferma l'assenza di prerequisiti di autenticazione e la bassa complessità dell'attacco.

Una nota di attenzione emerge dall'advisory MSRC, dove una sezione descrive lo scenario di exploitability come "authenticated as at least a Site Owner". Questa dicitura non concilia immediatamente con il vettore CVSS che indica attaccante non autenticato. Il dossier non chiarisce se si tratti di vettori alternativi o di fasi successive alla compromissione iniziale. Allo stato attuale, le fonti primarie concordano nel classificare la vulnerabilità come RCE non autenticato, con Microsoft che ha attivato il flag "Exploited Yes" sulla propria piattaforma.

Le versioni corrette sono documentate nel CPE NVD: 16.0.19725.20434 per SharePoint Server Subscription Edition, 16.0.5556.1005 per SharePoint Enterprise Server 2016, e 16.0.10417.20153 per SharePoint Server 2019. Microsoft ha rilasciato gli aggiornamenti il 14 luglio 2026, rendendo la patch disponibile da tre giorni al momento della scadenza CISA.

Exploitation attiva senza tracce di rete

La conferma dell'exploitation attiva proviene da fonti convergenti. Microsoft ha marcato il difetto come "Exploitation Detected"; CISA ha inserito CVE-2026-58644 nel KEV catalog con exploitation:active nello scoring SSVC; l'alert CISA del 14 luglio 2026 descrive "active exploitation" di multiple vulnerabilità SharePoint, inclusa quella in oggetto.

Ciononostante, l'analisi Rapid7 segnala esplicitamente l'assenza di indicatori di compromesso basati su rete al momento della pubblicazione. Questo vuoto ha conseguenze operative concrete: i team di sicurezza non possono affinare regole firewall, proxy o IDS su firme specifiche di traffico malevolo. L'unica linea di detection documentata passa attraverso AMSI (Antimalware Scan Interface) e Microsoft Defender.

"Microsoft confirmed active exploitation of CVE-2026-58644, and the vulnerability was subsequently added to CISA's Known Exploited Vulnerabilities (KEV) catalog on July 16, 2026" — Rapid7 analysis

L'alert CISA elenca tre firme AMSI specifiche: Exploit:Script/SuspSignoutReqBody.A, Exploit:Script/ToolPaneAuthBypass.A e Exploit:Script/ToolPaneAuthBypass.C. Per Microsoft Defender, risulta documentata la detection Backdoor:MSIL/LeakFang.A!dha. Queste firme offrono un punto di ancoraggio tecnico per i team che gestiscono endpoint protetti, ma non estendono la visibilità a sistemi che non abbiano attivato Defender o che operino in ambienti con soluzioni EDR di terze parti.

Cosa fare adesso

  • Applicare gli aggiornamenti di sicurezza del 14 luglio 2026 per tutte le versioni affette di SharePoint Server on-premises entro il 19 luglio 2026, data di conformità CISA BOD 26-04.
  • Verificare la presenza nel proprio ambiente delle firme AMSI Exploit:Script/SuspSignoutReqBody.A, Exploit:Script/ToolPaneAuthBypass.A, Exploit:Script/ToolPaneAuthBypass.C e della detection Defender Backdoor:MSIL/LeakFang.A!dha, documentando eventuali match.
  • Rimuovere l'esposizione diretta di SharePoint Server a Internet, posizionando un reverse proxy Layer 7 a monte dell'infrastruttura secondo la raccomandazione CISA.
  • Auditare le configurazioni IIS e i machine keys: l'exploitation documentata include il furto di chiavi per view state manipulation, prerequisito per persistenza via webshell.

La pressione CISA e il problema della visibilità

La due date di tre giorni imposta da CISA è eccezionalmente compressa anche per gli standard del KEV catalog. L'istituto federale non specifica nel contenuto estratto la ratio di questa celerità, ma la combinazione di RCE non autenticato, exploitation attiva confermata e ubiquità di SharePoint in ambienti enterprise giustifica la priorità. Il BOD 26-04 impone alle agenzie federali statunitensi l'applicazione della patch entro la scadenza; per il settore privato, la due date funziona da benchmark di responsabilità in eventuali contestazioni post-breach.

Il punto critico resta l'asimmetria informativa. Gli avversari attivi dispongono già di una catena di exploit funzionante; i difensori, in assenza di IOC network-based, devono fare affidamento su controlli host che coprono solo gli endpoint dove Defender è installato e correttamente configurato. Le organizzazioni con soluzioni EDR eterogenee o con gap di coverage sui server SharePoint operano con un handicap strutturale.

Perché la post-exploitation cambia la posta in gioco

Anche dove la patch arriva in tempo, la valutazione del rischio non si esaurisce con la chiusura della vulnerabilità iniziale. Il dossier documenta che l'exploitation include il furto delle IIS machine keys, utilizzabili per view state manipulation. Questo meccanismo apre a due scenari successivi: il deploy di webshell per accesso persistente e l'installazione di malware aggiuntivo. La persistenza, una volta ottenuta, rende il contenimento più complesso della sola applicazione dell'aggiornamento.

Il dossier non specifica la natura dei dati bersaglio in caso di compromissione, né documenta campagne ransomware associate a questa CVE. CISA KEV catalog riporta "Unknown" per ransomware campaigns. Non emerge inoltre alcuna sovrapposizione infrastrutturale che colleghi l'attività di exploitation a un threat actor noto o a una campagna documentata.

L'architettura come ultima linea di difesa

La raccomandazione CISA di isolare SharePoint dietro reverse proxy Layer 7 non è una mitigazione della vulnerabilità, ma una riduzione della superficie di attacco. Il proxy non filtra il payload di deserializzazione in sé — la vulnerabilità resta sfruttabile da chiunque raggiunga l'endpoint — ma introduce un punto di controllo per logging, rate limiting e, potenzialmente, inspection del contenuto applicativo. In assenza di patch tempestiva, questa architettura offre almeno un rilevamento ritardato e una traccia auditabile mancante nell'esposizione diretta.

La tensione tra urgenza e visibilità definisce il contesto operativo delle prossime 48 ore. Le organizzazioni con SharePoint on-premises esposto devono operare nell'ipotesi che l'avversario sia già presente o stia operando in prossimità della rete. La patch è condizione necessaria ma non sufficiente: il verificatore è il controllo host, e il controllo host ha i limiti documentati.

FAQ

SharePoint Online è interessato da questa vulnerabilità?
No. Il difetto interessa esclusivamente le edizioni on-premises: SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. SharePoint Online, gestito da Microsoft in cloud, non rientra tra i prodotti affetti.
Perché CISA ha imposto solo 3 giorni di tempo?
CISA non ha pubblicato una motivazione dettagliata nel contenuto estratto. La combinazione di RCE non autenticato, exploitation attiva confermata e diffusione di SharePoint in ambienti enterprise sensibili giustifica la priorità operativa.
Cos'è la discrepanza "authenticated as Site Owner" segnalata nell'advisory MSRC?
Una sezione dell'advisory Microsoft descrive lo scenario di exploitability come richiedente autenticazione da Site Owner, mentre il vettore CVSS e le fonti primarie indicano attaccante non autenticato. Il dossier non risolve questa incongruenza; potrebbe riferirsi a vettori alternativi o a fasi successive dell'attacco.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. rapid7.com
  2. nvd.nist.gov
  3. msrc.microsoft.com
  4. cisa.gov