Vulnerabilità dell'esecuzione di codice remoto di Microsoft Exchange Server

Microsoft Exchange Server rimane unobiettivodi alto valoreper gli attori delle minacce a causa della sua profonda integrazione con i sistemi di identità aziendali, l'infrastruttura di posta elettronica e gli account di servizio privilegiati. Le vulnerabilità RCE (Remote Code Execution) di Exchange sono state storicamente sfruttate percampagne di spionaggiosu largascala, distribuzione di ransomware e operazioni di accesso persistente.

CVE-2026-33824è una vulnerabilità critica di recente divulgazione che interessale distribuzionion-premisesdi Microsoft Exchange Server. La falla consente agli aggressori non autenticati di eseguire da remoto codice arbitrario nel contesto di Exchange Server, con conseguente potenziale compromissione del sistema. Uno sfruttamento riuscito consente agli aggressori di installare shell Web, condurre movimenti laterali, esfiltrare comunicazioni sensibili o distribuirepayloadsuccessivicome ransomware.

Dettagli della vulnerabilità

• ID CVE:CVE-2026-33824
• Tipo di vulnerabilità:Esecuzione di codice remoto (RCE)
• Vettore di attacco:Rete (non autenticato)
• Autenticazione richiesta:Non richiesta
• Interazione con l'utente richiesta:Non

Impatto

Se sfruttata con successo,CVE-2026-33824consente a un utente malintenzionato di eseguire codice arbitrario sul server Exchange sottostante con i privilegi dell'applicazione Exchange. Ciò può portare a:

• compromissione completa del server Exchange
• Furto di contenuti e credenziali di posta elettronica
• Distribuzione di shell web e backdoor
• Movimento laterale verso Active Directory
• Esecuzione di ransomware o payload distruttivi

Versioni interessate

La vulnerabilità interessa le seguenti versioni di Microsoft Exchange Server precedenti agli ultimi aggiornamenti di sicurezza:

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Nota:Exchange Onlineospitato incloudnon è interessato.

Mitigazioni consigliate

Azioni immediate

Applicare gli aggiornamenti di sicurezza

• Installare gli ultimi aggiornamenti di sicurezza di Exchange Server di Microsoft che risolvono il problemaCVE-2026-33824.
• Verificare l'avvenuta installazione in tutti i ruoli di Exchange.

• Limitare temporaneamente l'accesso pubblico ai servizi di Exchange, ove possibile.
• Limitare l'accesso utilizzandocontrollialivellodi rete(firewall, VPN).

• Esaminare i registri IIS per individuare richieste POST anomale o modelli di URL sospetti.
• Controllare le directory di Exchange per verificare la presenza difile.aspxinaspettatie potenziali shell Web.

• Assicurarsi che la registrazione di PowerShell, la registrazione di IIS e la registrazione degli eventi di Windows siano abilitate e mantenute.

Se la mitigazione non è immediatamente possibile

Se non è possibile completare immediatamente la patch, le organizzazioni devono implementare i seguenti controlli temporanei:

• Implementare una regola del Web Application Firewall (WAF) per rilevare o bloccare le richieste sospette di Exchange.
• Disattivare gli endpoint di Exchange non necessari (ad esempio, i servizi legacy non più in uso).
• Monitorare le connessioni in uscita dai server Exchange per rilevare attività sospette.
• Aumentare la sensibilità degli avvisi SOC per iprocessi e i processi figlidiExchange.

Importante: lemitigazioni temporanee non sostituiscono le patch e devono essere utilizzate solo per ridurre l'esposizione fino all'applicazione degli aggiornamenti.

Raccomandazioni per il rilevamento e il monitoraggio

I team di sicurezza devono monitorare la presenza di:

• comportamento insolito del processo worker di IIS (w3wp.exe)
• Generazione di processi figlio inaspettati da parte di Exchange (ad esempio,cmd.exe,powershell.exe).
• Creazione di nuovi account locali o di dominio
• Attività o servizi pianificati inaspettati
• Connessioni in uscita non autorizzate dai server Exchange

CVE-2026-33824rappresenta una minaccia critica e urgente per le organizzazioni che gestisconoserver Microsoft Exchangeon-premises. Sulla base delle tendenze storiche di sfruttamento e delle prime informazioni sulle minacce, è altamente probabile una rapida armamento. Si consiglia vivamente di applicare immediatamente le patch, di cercare le minacce in modo proattivo e di migliorare il monitoraggio.

Le organizzazioni che non sono in grado di rimediare tempestivamente devono considerare i loro server Exchange come potenzialmente compromessi e rispondere di conseguenza.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, contattateciper scoprire come potete proteggere la vostra organizzazione.