Il Patch Tuesday di luglio 2026 di Microsoft ha attirato immediatamente l’attenzione non solo per la sua portata record, ma perché due zero-day sfruttati attivamente hanno colpito alcune delle parti più sensibili dell’infrastruttura aziendale. Il CVE-2026-56164 prende di mira SharePoint Server on-premises ed è sfruttabile da remoto in attacchi a bassa complessità, mentre il CVE-2026-56155 prende di mira Active Directory Federation Services e consente l’elevazione dei privilegi a partire da un punto d’appoggio locale con pochi privilegi. Insieme, mostrano perché i difensori non dovrebbero classificare il rischio di questo mese solo in base al punteggio.
Il bug di SharePoint è il problema più urgente rivolto a Internet. I report pubblici affermano che non richiede credenziali né interazione utente, rendendolo particolarmente pericoloso per le organizzazioni che ancora utilizzano SharePoint in hosting personale. Il difetto di AD FS ha una portata più ristretta, ma è altrettanto importante in pratica poiché l’infrastruttura di federazione si trova al centro dell’identità e della fiducia aziendale. Una volta che gli attaccanti raggiungono quel livello, l’impatto può estendersi ben oltre un singolo host.
Analisi di CVE-2026-56164 e CVE-2026-56155
For Analisi di CVE-2026-56164, il punto chiave è che Microsoft e i report esterni descrivono entrambi il difetto come già sfruttato in attacchi reali contro SharePoint on-prem. È un problema di elevazione dei privilegi, ma a differenza di molti bug di privilegi, è sfruttabile da remoto e di bassa complessità, il che lo rende molto più pericoloso a livello operativo di quanto il solo etichetta suggerisca.
I dettagli attuali per CVE-2026-56164 rimangono limitati. Microsoft non ha spiegato pubblicamente la catena di exploit esatta, l’attore responsabile o il comportamento completo post-compromissione. È chiaro che il difetto riguarda SharePoint Server in hosting personale e dovrebbe essere trattato come un evento di patching ad alta priorità, soprattutto perché gli stessi aggiornamenti di luglio correggono anche altri problemi di esecuzione di codice remoto e bypass della sicurezza di SharePoint.
Lo zero-day di AD FS ha un profilo diverso. Il CVE-2026-56155 riguarda Active Directory Federation Services e parte da privilegi locali bassi, il che significa che è più probabile che sia utile dopo che un attaccante ha già guadagnato un certo accesso. Detto ciò, AD FS è esattamente il tipo di infrastruttura d’identità che gli attaccanti vogliono una volta che sono all’interno di una rete, perché si trova nel percorso di autenticazione per il resto dell’ambiente.
Al momento della stesura, non vi è alcun PoC pubblico per CVE-2026-56164, né IOC di CVE-2026-56155 dettagliati pubblicamente nei report citati. Ciò significa che i difensori dovrebbero concentrarsi meno sulla rilevazione basata su firme e più sulla riduzione dell’esposizione, sull’implementazione delle patch e sulla revisione post-compromissione dei sistemi più suscettibili ad essere abusati.
Mitigazione di CVE-2026-56164 e CVE-2026-56155
La risposta raccomandata da Microsoft è semplice: patchare immediatamente entrambi i difetti. Per SharePoint, abilitare AMSI in Modalità Completa può aiutare a smorzare gli attacchi, ma il patching rimane la priorità perché gli aggiornamenti di luglio chiudono anche ulteriori debolezze di SharePoint che gli attaccanti potrebbero concatenare. Ciò rende la rilevazione di CVE-2026-56164 meno legata all’attesa di una telemetria perfetta e più alla conferma di quali server sono esposti, rivolti a Internet e ancora non patchati.
Per AD FS, la correzione è inclusa negli aggiornamenti di Windows e Windows Server, e Microsoft ha anche iniziato a rinforzare l’elenco di controllo accessi sul contenitore del Gestore di Chiavi Distribuite di AD FS. In pratica, la mitigazione di CVE-2026-56155 dovrebbe essere trattata sia come un esercizio di patching che come un esercizio di rinforzo dell’identità.
Per rilevare CVE-2026-56155, i team di sicurezza dovrebbero dare priorità ai server di federazione, verificare che siano stati applicati gli aggiornamenti rilevanti e rivedere eventuali cambiamenti di privilegi locali sospetti o abusi dell’infrastruttura d’identità. La stessa logica si applica a SharePoint: inventariare tutti i server on-prem, patchare velocemente e verificare se eventuali istanze raggiungibili dall’esterno hanno mostrato segni di accesso insolito o abuso post-autenticazione dal periodo di exploit osservato più presto.
VERIFICA DETECTABILI DISPONIBILI
Disclaimer: Il contenuto della rilevazione potrebbe non essere disponibile per ogni CVE. Controlla la piattaforma SOC Prime per la copertura attuale. Se non trovi rilevazioni rilevanti ora, controlla più tardi.
FAQ
Cosa sono CVE-2026-56164 e CVE-2026-56155 e come funzionano?
CVE-2026-56164 è un difetto di elevazione dei privilegi sfruttato attivamente in Microsoft SharePoint Server on-prem, sfruttabile da remoto in attacchi a bassa complessità. CVE-2026-56155 è un difetto di elevazione dei privilegi sfruttato attivamente in Active Directory Federation Services che inizia da privilegi locali bassi e può aiutare gli attaccanti a spostarsi più in profondità nell’infrastruttura d’identità.
Quando sono stati scoperti per la prima volta CVE-2026-56164 e CVE-2026-56155?
I report pubblici non divulgano una data di scoperta privata per qualsiasi problema. Quello che si sa è che Microsoft ha rilasciato pubblicamente le correzioni a luglio 2026 e ha accreditato i risponditori a incidenti per entrambi, il che suggerisce fortemente una scoperta durante un’indagine su un attacco nel mondo reale.
Qual è l’impatto di CVE-2026-56155 sui sistemi?
L’impatto più serio di CVE-2026-56155 è l’escalation dei privilegi su un host AD FS, che può contare molto più di quanto implichi il requisito di accesso locale poiché AD FS firma e media la fiducia dell’identità in tutto l’ambiente. Nelle mani sbagliate, la compromissione di quel ruolo può supportare un movimento laterale più ampio e abusi successivi.
CVE-2026-56164 e CVE-2026-56155 possono ancora colpirmi nel 2026?
Sì. Le organizzazioni possono ancora essere esposte nel 2026 se non hanno applicato gli aggiornamenti Microsoft di luglio 2026, soprattutto se gestiscono SharePoint on-prem rivolto a Internet o mantengono server AD FS già accessibili agli attaccanti attraverso un punto d’appoggio esistente.
Come posso proteggermi da CVE-2026-56164 e CVE-2026-56155?
Esegui immediatamente le patch, abilita la Modalità Completa AMSI su SharePoint come controllo aggiuntivo, distribuisci gli aggiornamenti di Windows e Windows Server integrati per AD FS e rivedi i tuoi sistemi di collaborazione e identità più sensibili per segni di abuso post-compromissione. In questo caso, la velocità conta più dell’attesa di una completa divulgazione pubblica dell’exploit.