Segui 
L’inizio del 2026 ha portato un’ondata di vulnerabilità zero-day che colpiscono i prodotti Microsoft, inclusa la falla nel Gestore finestre del desktop di Windows sfruttata attivamente (CVE-2026-20805), il zero-day di Microsoft Office (CVE-2026-21509) che ha richiesto una correzione fuori banda, e il bug RCE di Windows Notepad (CVE-2026-20841). Il rilascio di marzo del Patch Tuesday di Microsoft tiene nuovamente impegnati i difensori, questa volta spostando l’attenzione su CVE-2026-21262, una vulnerabilità Elevation of Privilege (EoP) di SQL Server divulgata pubblicamente che mette a rischio gli ambienti aziendali.
Microsoft descrive CVE-2026-21262 come un difetto di controllo improprio degli accessi che consente a un attaccante autorizzato di elevare i privilegi su una rete. Il bug ha un punteggio CVSS di 8.8 ed è stato uno dei due zero-day divulgati pubblicamente affrontati nel Patch Tuesday di marzo. Sebbene non vi siano prove confermate di sfruttamento attivo, la combinazione di esposizione pubblica, bassa complessità degli attacchi e la possibilità di escalation dei privilegi all’interno di una piattaforma di database core rende difficile scartarla come una correzione di routine.
In considerazione dell’ampia portata di Microsoft negli ambienti aziendali e dei consumatori, le vulnerabilità nei suoi prodotti possono avere un impatto devastante. BeyondTrust ha riportato che Microsoft ha divulgato un record di 1.360 vulnerabilità nel 2024, con i difetti di Elevation of Privilege come categoria di punta. Questo è continuato nel 2025, quando Microsoft ha corretto 1.129 vulnerabilità durante l’anno, mentre i problemi di EoP sono rimasti al 50% di tutte le correzioni a dicembre 2025. Il Google Threat Intelligence Group aggiunge un ulteriore livello di contesto. Ha tracciato 90 zero-day in-the-wild nel 2025 e ha rilevato che le tecnologie aziendali costituivano un record del 48% delle esploitazioni osservate.
Iscriviti alla Piattaforma SOC Prime per accedere al più grande dataset di intelligence sulle rilevazioni del mondo supportato da una suite di prodotti basati sull’IA, aiutando i team SOC a gestire senza soluzione di continuità tutto, dalla rilevazione delle minacce alla simulazione. I difensori possono approfondire un insieme di rilevazioni rilevanti per l’attività di sfruttamento delle vulnerabilità premendo Esplora Rilevazioni.
Tutte le regole sono mappate sul più recente MITRE ATT&CK® framework e sono compatibili con più piattaforme SIEM, EDR e Data Lake. Inoltre, ogni regola viene fornita con metadati completi, tra cui CTI riferimenti, flussi di attacco, configurazioni di audit e altro.
I difensori del cyberspazio possono anche utilizzare Uncoder AI per ottimizzare la routine dell’ingegneria delle rilevazioni. Trasforma i rapporti di minacce grezze in regole di comportamento azionabili, testa la logica di rilevazione, mappa i flussi di attacco, trasforma gli IOC in query di caccia, o traduci istantaneamente il codice di rilevazione in diverse lingue supportato dalla potenza dell’IA e dalla profonda competenza in cybersecurity dietro ogni passo.
Analisi di CVE-2026-21262
Il Patch Tuesday di Microsoft di marzo 2026 ha affrontato oltre 80 vulnerabilità, comprese due zero-day divulgate pubblicamente. Nel rilascio, i difetti di escalation dei privilegi hanno dominato, con la lista totale che contiene 46 bug EoP, 18 difetti RCE, 10 bug di divulgazione di informazioni, 4 problemi di denial-of-service, 4 vulnerabilità di spoofing e 2 difetti di bypass delle funzionalità di sicurezza.
CVE-2026-21262 si distingue perché colpisce SQL Server, una piattaforma su cui molte organizzazioni fanno affidamento per eseguire applicazioni core e conservare dati di alto valore. Uno sfruttamento riuscito può consentire agli attaccanti di passare da un account autenticato a bassa privilegi all’amministratore di sistema SQL, il che significa effettivamente il controllo completo sull’istanza di database compromessa. Da lì, gli hacker possono accedere o alterare i dati, cambiare configurazioni, creare nuovi login o stabilire una persistenza all’interno dell’ambiente SQL.
La falla non fornisce accesso iniziale da sola. Un attaccante ha ancora bisogno di credenziali valide e della raggiungibilità di rete a un’istanza vulnerabile di SQL Server. Questa limitazione è importante, ma non dovrebbe creare falsa fiducia. In molti ambienti aziendali, gli account di database a bassa privilegi sono diffusi tra applicazioni, servizi di integrazione, strumenti di automazione e carichi di lavoro legacy, il che rende lo sfruttamento post-compromissione uno scenario realistico.
Il rilascio di marzo del Patch Tuesday di Microsoft includeva anche diverse altre vulnerabilità su cui i difensori dovrebbero concentrarsi. La seconda zero-day divulgata pubblicamente è un difetto di denial-of-service di .NET (CVE-2026-26127). Microsoft ha anche corretto due notevoli bug di esecuzione di codice remoto in Office (CVE-2026-26110, CVE-2026-26113), che possono essere sfruttati attraverso il riquadro di anteprima. Un altro problema importante è un difetto di divulgazione di informazioni in Excel (CVE-2026-26144) che i ricercatori dicono potenzialmente potrebbe essere sfruttato per esfiltrare dati attraverso la modalità Copilot Agent.
Mitigazione di CVE-2026-21262
Secondo il avviso di Microsoft, le organizzazioni che eseguono SQL Server dovrebbero prima identificare la versione esatta del prodotto e la build attuale, quindi installare l’aggiornamento di sicurezza del 10 marzo che corrisponde al percorso di servizio dell’istanza.
In particolare, il fornitore distingue tra il percorso GDR, che offre solo correzioni di sicurezza, e il percorso CU, che include sia correzioni di sicurezza che funzionali. Se un’istanza ha seguito il percorso GDR, installa il pacchetto GDR corrispondente. Se ha già ricevuto rilasci CU, installa il corrispondente aggiornamento di sicurezza CU. Microsoft osserva anche che le organizzazioni possono passare da GDR a CU una volta, ma non posso tornare indietro da CU a GDR successivamente.
I rami supportati interessati e gli aggiornamenti corrispondenti includono quanto segue:
- SQL Server 2016 SP3: KB5077474 (GDR)
- SQL Server 2017: KB5077471 (CU31) or KB5077472 (GDR)
- SQL Server 2019: KB5077469 (CU32) or KB5077470 (GDR)
- SQL Server 2022: KB5077464 (CU23) or KB5077465 (GDR)
- SQL Server 2025: KB5077466 (CU2) or KB5077468 (GDR) per Windows e Linux
Oltre a patch, i difensori dovrebbero rivedere i login SQL e le assegnazioni di ruolo, ridurre i privilegi non necessari per account di servizio e applicazioni, limitare l’esposizione di rete ai server di database e monitorare per cambiamenti di permessi insoliti o per nuovi ruoli ad alta privilegi. Poiché lo sfruttamento richiede credenziali valide, è utile anche rivedere le credenziali del database embedded, gli account di servizio condivisi e le pratiche di gestione dei segreti in tutto l’ambiente.
Inoltre, migliorando le difese con la Piattaforma di Intelligenza di Rilevazione AI-Nativa di SOC Prime, i team SOC possono ottenere contenuti di rilevazione dal più ampio repository aggiornato, adottare senza soluzione di continuità l’intero pipeline dalla rilevazione alla simulazione nei loro processi di sicurezza, orchestrare i flussi di lavoro nella loro lingua naturale e navigare agevolmente nel panorama delle minacce in continua evoluzione rafforzando le difese su ampia scala.
FAQ
Che cos’è CVE-2026-21262 e come funziona?
CVE-2026-21262 è una vulnerabilità di Elevation of Privilege ad alta gravità in Microsoft SQL Server. Microsoft la descrive come un difetto di controllo improprio degli accessi che consente a un attaccante autorizzato di elevare i privilegi su una rete. In pratica, ciò significa che un attaccante con accesso a basso livello privilegiato a un’istanza vulnerabile di SQL Server potrebbe essere in grado di sfruttare il difetto per ottenere permessi molto più elevati
Quando è stato scoperto per la prima volta CVE-2026-21262?
La vulnerabilità è stata ufficialmente divulgata e pubblicata il 10 marzo 2026, come parte del rilascio di marzo del Patch Tuesday di Microsoft. Microsoft ha accreditato a Erland Sommarskog la scoperta del difetto.
Qual è l’impatto di CVE-2026-21262 sui sistemi?
CVE-2026-21262 può consentire a un attaccante autenticato di elevare i privilegi all’interno di un’istanza vulnerabile di SQL Server, raggiungendo potenzialmente l’accesso al livello di amministratore di sistema SQL. In termini pratici, ciò potrebbe dare a un attaccante un ampio controllo sull’ambiente del database, inclusa la capacità di accedere o modificare dati sensibili, cambiare le impostazioni del server, creare nuovi login e stabilire una persistenza all’interno dell’istanza di SQL Server compromessa.
CVE-2026-21262 può ancora colpirmi nel 2026?
Sì. Qualsiasi distribuzione di SQL Server supportata non patchata può essere ancora esposta nel 2026 se sta eseguendo una build vulnerabile e un attaccante ha credenziali valide oltre all’accesso alla rete all’istanza. La vulnerabilità è stata divulgata pubblicamente, il che aumenta la probabilità di abusi successivi, anche se Microsoft non l’aveva elencata come attivamente sfruttata al momento del rilascio.
Come puoi proteggerti da CVE-2026-21262?
La guida di Microsoft è identificare la versione esatta di SQL Server e quindi installare l’aggiornamento di sicurezza di marzo 2026 corrispondente al percorso di servizio. Ciò significa applicare il corretto pacchetto GDR o CU per SQL Server 2016 SP3, 2017, 2019, 2022 o 2025, a seconda del proprio ramo attuale.
