Due amministratori, una patch, un luglio molto diverso

Immagina due aziende con lo stesso server SharePoint on-premise. Una ha applicato l'aggiornamento di sicurezza Microsoft di maggio 2026 nella settimana in cui è uscito. L'altra lo ha archiviato come routine ed è andata avanti, rassicurata dalla nota di Microsoft secondo cui lo sfruttamento era meno probabile. Il 1 luglio l'agenzia statunitense CISA ha aggiunto proprio quella falla, CVE-2026-45659, al suo catalogo delle vulnerabilità sfruttate note, citando prove di attacchi attivi in circolazione. Il primo amministratore era già al sicuro. Il secondo ha ora un problema urgente con una scadenza pubblica allegata.

CISA ha dato alle agenzie federali statunitensi tempo fino al 4 luglio per applicare la patch. Quella data non è un tuo obbligo, ma l'inserimento è il tuo avvertimento: una vulnerabilità che qualcuno ha ridimensionato a maggio viene usata contro bersagli reali a luglio.

La falla in parole chiare

CVE-2026-45659 è una vulnerabilità di esecuzione di codice da remoto causata da deserializzazione non sicura di dati non attendibili, con un punteggio di gravità di 8.8 su 10. In pratica significa che un aggressore può far eseguire al server il codice che sceglie. Riguarda i prodotti on-premise, cioè SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016, e non lo SharePoint ospitato in cloud in Microsoft 365.

Il dettaglio che alza la posta è la bassa barriera d'ingresso. Sfruttare la falla non richiede diritti di amministratore; basta un singolo account con normali permessi di Membro del sito. La maggior parte delle organizzazioni concede questo livello di accesso a consulenti, personale temporaneo e decine di utenti ordinari. Una sola di quelle credenziali, carpita col phishing o riutilizzata, è tutta la chiave.

Il divario tra improbabile e sfruttato

Quando Microsoft ha rilasciato la correzione a maggio, ha etichettato la falla come di sfruttamento meno probabile, una previsione ragionevole rivelatasi sbagliata nel giro di settimane. Quel divario è il motivo per cui le valutazioni di gravità del fornitore dovrebbero fissare l'ordine delle patch, non la decisione di applicarle. Una valutazione prevede il comportamento dell'aggressore; un inserimento di CISA nelle vulnerabilità sfruttate lo registra. Quando le due sono in disaccordo, vince il registro, e così è appena stato.

Lo schema non è nuovo. I server di collaborazione on-premise, esposti a internet e ricchi di dati interni, sono tra i software più costantemente attaccati nei parchi aziendali. Una nota di gravità ridimensionata è una previsione, e le previsioni sono proprio ciò che gli aggressori sono pagati per smentire.

Perché NIS2 cambia la posta, e cosa fare ora

Per gli operatori europei la conseguenza è sia normativa sia tecnica. Con la direttiva NIS2, le organizzazioni rientranti nell'ambito devono gestire le vulnerabilità note e possono affrontare controlli e sanzioni se non lo fanno. In Italia, l'ACN e il decreto italiano di recepimento della NIS2 danno corpo a questo quadro. Una falla presente in un elenco pubblico di vulnerabilità sfruttate, con una patch disponibile da maggio, è quasi la prova più chiara possibile che esisteva una soluzione e non è stata applicata. Dopo un incidente, è il primo documento che un investigatore solleverà.

L'azione è circoscritta e immediata. Verifica se gestisci una delle tre versioni on-premise di SharePoint interessate. Se sì, applica l'aggiornamento di maggio 2026 ora e cerca segni di compromissione invece di presumere che il solo aggiornamento chiuda la porta. Poi tratta il catalogo di CISA, non l'etichetta di gravità del fornitore, come il tuo innesco per il prossimo caso di questo tipo, perché ce n'è sempre uno successivo.