Avviso di sicurezza: CVE202620963 - Sfruttamento attivo della vulnerabilità di Microsoft SharePoint

CVE202620963 è stata pubblicata originariamente nel gennaio 2026, ma ha recentemente guadagnato nuova attenzione a causa di uno sfruttamento attivo confermato.

Panoramica

Il 18 marzo 2026 il CISA ha aggiunto la vulnerabilità all'elenco delle Known Exploited Vulnerabilities (KEV), a seguito di segnalazioni di attacchi reali. La falla è una vulnerabilità di esecuzione di codice remoto in Microsoft SharePoint causata dalla gestione impropria di dati non attendibili durante la deserializzazione. Una volta attivata, consente agli aggressori di eseguire codice sul server SharePoint e le informazioni disponibili indicano che l'autenticazione potrebbe non essere richiesta.

Dal momento che SharePoint spesso memorizza informazioni interne sensibili e si basa su flussi di lavoro di collaborazione chiave, uno sfruttamento riuscito può portare a rischi significativi per la sicurezza operativa e dei dati.

Cosa consente la vulnerabilità

Se sfruttata, un utente malintenzionato può

eseguire codice arbitrario sul server SharePoint
Ottenere il pieno controllo dell'host
Spostarsi lateralmente all'interno dell'ambiente
distribuire malware, backdoor o impostare la persistenza
Prepararsi potenzialmente al furto di dati o a operazioni di ransomware.

In base alle informazioni attualmente disponibili, sembra trattarsi di un attacco remoto che potrebbe non richiedere credenziali.

Versioni interessate

Secondo le informazioni pubblicate, sono interessati i seguenti prodotti Microsoft SharePoint:

SharePoint Server 2016
Server SharePoint 2019
SharePoint Subscription Edition

Attività attuale della minaccia

CVE202620963 viene sfruttata attivamente. Sebbene non siano stati identificati pubblicamente gruppi specifici di minacce, le tecniche osservate sono coerenti con quelle utilizzate dagli aggressori specializzati nell'ottenere l'accesso iniziale per ulteriori attività di intrusione o distribuzione di ransomware.

Passi di mitigazione consigliati

1. Applicare immediatamente le patch

Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere il problema. L'aggiornamento di tutti i server SharePoint interessati all'ultima versione patchata è il passo più importante.

2. Limitare l'esposizione della rete

Assicuratevi che i server SharePoint non siano inutilmente esposti:

Limitare l'accesso da reti non attendibili
Applicare controlli adeguati su firewall e reverseproxy.
Eliminare l'esposizione diretta all'esterno, a meno che non sia assolutamente necessario.

3. Rafforzare il monitoraggio e la registrazione

Aumentare il monitoraggio dei server interessati per rilevare

modifiche insolite o non autorizzate dei file
Processi sospetti in esecuzione sotto account di servizio SharePoint
Connessioni di rete in uscita inaspettate

4. Esaminare le autorizzazioni e i controlli di accesso

Verificate i ruoli amministrativi e gli account di servizio per assicurarvi che siano assegnati privilegi minimi.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, contattateciper scoprire come potete proteggere la vostra organizzazione.