La vulnerabilità sotto attacco attivo

Non è un avviso teorico; la falla è sfruttata proprio ora. Il 17 luglio 2026 l'agenzia statunitense per la cybersicurezza CISA ha aggiunto CVE-2026-58644, una vulnerabilità critica di Microsoft SharePoint Server, al suo catalogo delle vulnerabilità note sfruttate e ha ordinato alle agenzie civili federali di applicare la patch entro il 19 luglio. Il difetto è una deserializzazione di dati non attendibili con una gravità di 9,8 su 10, che consente a un aggressore senza credenziali di eseguire codice arbitrario sul server.

Non è isolato. Un gruppo di falle di SharePoint Server viene concatenato in rete per aggirare l'autenticazione, ottenere l'esecuzione di codice da remoto e svolgere attività successive. SharePoint self-hosted ha qui una lunga storia: dalla fine del 2021 i regolatori hanno segnalato quasi una dozzina delle sue vulnerabilità come sfruttate negli attacchi, e la maggior parte è stata poi usata nei ransomware.

Perché la sola patch non basta

La parte pericolosa è ciò che gli aggressori portano via entrando. Durante lo sfruttamento rubano le chiavi macchina crittografiche del server, i segreti con cui SharePoint firma e convalida i token che concedono l'accesso. Una volta che un aggressore possiede quelle chiavi, può falsificare credenziali valide a piacimento, e può farlo contro un server che avete già aggiornato.

È questa la trappola dell'incidente. Applicare la patch di Microsoft chiude il buco da cui è entrato l'intruso, ma non fa nulla per le chiavi che ha già copiato. Un SharePoint Server con la patch e pienamente aggiornato può comunque essere rientrato con chiavi rubate, ed è per questo che qui la bonifica non finisce con la patch. Se non ruotate le chiavi macchina, potreste credervi al sicuro mentre la porta resta silenziosamente aperta.

Chi è davvero esposto

È un problema on-premises, non del cloud. La vulnerabilità riguarda SharePoint Server self-hosted, la versione che un'organizzazione esegue sulla propria infrastruttura. SharePoint Online di Microsoft 365, il servizio ospitato, non è il bersaglio di questi sfruttamenti specifici. Quindi il rischio si concentra proprio nelle installazioni che molte medie imprese, enti pubblici, studi legali e istituti finanziari europei tengono in casa.

Spesso le tengono in casa per buone ragioni: residenza dei dati, regole di settore o la decisione di custodire documenti sensibili su infrastruttura controllata. Questa scelta è legittima, ma significa anche che patch, rotazione delle chiavi e monitoraggio sono interamente vostra responsabilità. La comodità che un provider cloud avrebbe gestito in silenzio, on-premises, è un compito con il vostro nome e un orologio che scorre.

Cosa significa secondo le norme UE

La scadenza statunitense non vi vincola, l'urgenza sì. Il 19 luglio vale per le agenzie federali americane; un operatore europeo non ha alcun obbligo legale verso di essa. Trattatela invece come un segnale pubblico di quanto rapidamente si muove la cosa, perché gli stessi server e lo stesso codice di exploit non si fermano a un confine. Autorità nazionali come il BSI tedesco e l'NCSC britannico emettono i propri avvisi proprio su questo tipo di falla attivamente sfruttata.

Sotto la NIS2 e, per gli enti finanziari, la DORA, un'intrusione riuscita qui è un incidente da notificare con finestre strette e responsabilità a livello di consiglio. Un archivio di documenti pieno di contratti, dati personali e registri interni è proprio il bene che queste norme esistono per proteggere. Essere lenti ad applicare la patch a una vulnerabilità nota e sfruttata è il tipo di mancanza che un regolatore legge come negligenza, non come sfortuna.

Cosa fare ora

Procedete in ordine e supponete il peggio dove non potete provare il contrario. Applicate subito gli aggiornamenti di SharePoint Server di Microsoft, poi ruotate le chiavi macchina di IIS così che le chiavi rubate diventino inutili. Cercate segni di compromissione: web shell inattese, file sconosciuti nelle directory del server, chiavi nuove o alterate ed eventi di autenticazione che non corrispondono ai vostri utenti. Riducete la superficie d'attacco togliendo dalla rete aperta ogni SharePoint esposto a internet dove potete.

Se il vostro server è stato raggiungibile e senza patch in qualunque momento dalla divulgazione, trattatelo come violato e indagate su questa base invece di sperare che sia sfuggito. Il costo di supporre una compromissione che non c'era è qualche ora di verifica; il costo di supporre una sicurezza che non c'era è l'incidente stesso.