News5 min
Microsoft Defender: Due Zero-Day Attive, Cosa
Due zero-day di Microsoft Defender sono ancora attive dopo il caso Nightmare-Eclipse. Il ricercatore ha pubblicato tre exploit su GitHub: uno è stato patchato, due no.
LeggiUna telefonata a mezzanotte
Marco B. non dimenticherà mai quella telefonata. Era il 23 marzo 2026, circa le 23:30, quando il suo telefono ha squillato. Dall'altra parte, la voce tremante del responsabile del magazzino: "Marco, non riesco ad accedere ai documenti. Il sistema dice che non ho i permessi, ma li ho sempre avuti. E c'è qualcosa di strano... sembra che qualcuno stia usando il mio account da un altro computer."
Marco, IT manager di un'azienda manifatturiera da 150 dipendenti in provincia di Parma, si è collegato da remoto. Quello che ha visto lo ha fatto gelare il sangue: sessioni attive da indirizzi IP impossibili — Ucraina, Russia, Vietnam — tutte con le credenziali del responsabile magazzino. Il sistema di SharePoint Server, cuore pulsante della collaborazione aziendale, era stato violato.
Quella notte Marco non ha dormito. Ha scoperto giorni dopo che la sua azienda era una delle prime vittime in Italia di una vulnerabilità che Microsoft avrebbe corretto solo con il Patch Tuesday di aprile 2026: CVE-2026-21181, una zero-day in SharePoint Server già attivamente sfruttata da gruppi criminali.
Il Patch Tuesday più pesante dell'anno
Il 14 aprile 2026, Microsoft ha rilasciato il suo più grande aggiornamento di sicurezza dell'anno. Non era un caso. Il bollettino correggeva 165 vulnerabilità, di cui 10 critiche. Ma la notizia che ha fatto tremare i CISO di tutta Europa era un'altra: tra queste vulnerabilità, ce n'era una che i criminali informatici stavano già usando.
CVE-2026-21181, questo il codice della falla, permetteva a un attaccante non autenticato di eseguire codice arbitrario su SharePoint Server. In pratica, senza bisogno di username o password, un hacker poteva infettare il server e da lì muoversi lateralmente in tutta la rete aziendale. Il CVSS score? Un devastante 9.8 su 10.
Ma non finiva qui. Nello stesso periodo, qualcosa di ancora più preoccupante è emerso: il codice sorgente di BlueHammer, lo zero-day di Microsoft Defender che permetteva di disabilitare il antivirus e iniettare malware, è stato pubblicato online da un ricercatore di sicurezza. Il 9 aprile, il codice circolava già nei forum specializzati e nelle dark web marketplace.
Per capire la portata del problema, basti pensare che nel 2025 sono state scoperte oltre 100 zero-day utilizzate in attacchi reali. SharePoint, con le sue centinaia di milioni di installazioni aziendali in tutto il mondo, rappresenta un target irresistibile: è il crocevia dove passano documenti riservati, dati finanziari, segreti commerciali.
Come funzionava l'attacco
La vulnerabilità sfruttava un difetto nella gestione dei pacchetti di rete da parte di SharePoint Server. Quando un utente malintenzionato inviava richieste HTTP appositamente manipolate verso il server, queste venivano elaborate senza i dovuti controlli di sicurezza.
Il meccanismo era subdolo. L'attaccante inviava una richiesta che conteneva codice malevolo camuffato da dati ordinari. Il server, fidandosi della comunicazione, eseguiva quel codice nel contesto dell'utente SYSTEM — cioè con massimi privilegi. A quel punto, il gioco era fatto.
Primo passo: accesso iniziale. L'hacker otteneva una shell sul server SharePoint con privilegi di sistema.
Secondo passo: lateral movement. Dal server, l'attaccante scandagliava la rete locale, cercando controller di dominio, server di posta, database contenenti informazioni sensibili.
Terzo passo: esfiltrazione o cifratura. A seconda degli obiettivi, i dati venivano esfiltrati verso server remoti oppure cifrati con ransomware, con richiesta di riscatto.
Il tutto avveniva in silenzio, senza che gli antivirus tradizionali — quelli basati su firma o su euristiche semplici — dessero l'allarme. La firma dell'attacco non esisteva ancora. Era una zero-day, appunto.
Per le aziende italiane, il danno era particolarmente insidioso perché SharePoint è onnipresente: lo usano studi professionali, aziende manifatturiere, enti pubblici, studi legali. Ovunque ci sia necessità di condividere documenti in modo strutturato, SharePoint è presente. E spesso, purtroppo, non aggiornato.
Il giorno dopo: danni tangibili
Per l'azienda di Marco, le conseguenze sono state immediate e dolorose. Il ripristino dei sistemi ha richiesto cinque giorni di lavoro intenso, con il magazzino paralizzato e gli ordini bloccati. Ma il danno più grande non è stato operativo.
"Abbiamo dovuto notificare il breach ai clienti", mi ha raccontato Marco qualche settimana dopo. "Alcuni contratti importanti sono saltati. I partner commerciali non si fidavano più."
Il costo diretto? Circa 80.000 euro tra consulenti IT, ripristino sistemi, ore di lavoro straordinario. Ma il costo nascosto — la perdita di fiducia, i contratti persi, il danno reputazionale — è impossibile da quantificare.
E non era solo un problema italiano. In quelle settimane, aziende in Germania, Francia, Regno Unito hanno riportato violazioni simili. Alcuni gruppi ransomware, in particolare quelli legati a Russia e Iran, avevano fatto della zero-day SharePoint il loro cavallo di battaglia per incursioni su larga scala.
Sotto il profilo legale, la situazione non è da meno. Il GDPR prevede multe fino al 4% del fatturato globale per violazioni di sicurezza. Ma oltre alle sanzioni, c'è la responsabilità diretta degli amministratori: se un attacco era prevedibile e prevenibile, la legge italiana prevede responsabilità penale per omissione.
Lezione imparata:补丁 non basta
La domanda che ogni IT manager si è posto quelle settimane è: come avremmo potuto evitarlo?
La risposta più ovvia — applicare le patch — sembra semplice, ma non lo è. Le aziende italiane medie hanno sistemi complessi, spesso stratificati negli anni, dove un aggiornamento può rompere applicazioni critiche. Testare le patch richiede tempo, e nel frattempo la vulnerabilità resta aperta.
La verità è che in questi casi servono due cose: difese multiple e monitoraggio costante.
Primo: segmentazione della rete. SharePoint non dovrebbe mai comunicare direttamente con server critici come i domain controller. Isolamento significa che anche se un attaccante entra, non può muoversi liberamente.
Secondo: monitoraggio del traffico anomalo. Sistemi che analizzano il comportamento della rete in tempo reale possono individuare attività sospette anche senza conoscere la firma specifica dell'attacco. È quello che fanno i sistemi di threat detection basati su AI semantica, come quelli che analizzano il contenuto delle email e dei file in tempo reale prima che raggiungano l'utente.
Terzo: formazione dei dipendenti. In molti casi, l'entry point iniziale è un'email di phishing che consegna le credenziali. Un filtro antispam efficace blocca la maggior parte di questi tentativi prima che arrivino nelle caselle di posta.
Per le aziende che vogliono un livello di protezione superiore, esistono soluzioni specializzate che affiancano i sistemi Microsoft. MailSniper, ad esempio, offre sandboxing avanzato per allegati e analisi in tempo reale degli URL, aggiungendo un livello di difesa che il filtro integrato di Office 365 non copre. Non è l'unica opzione, ma è una delle strade che molte aziende italiane stanno percorrendo.
La domanda che nessuno vuole fare
Il Patch Tuesday di aprile 2026 ci ha ricordato una verità scomoda: Microsoft corregge le vulnerabilità, ma i criminali le sfruttano prima che la patch arrivi sulle macchine delle aziende. La finestra tra la scoperta e l'applicazione della correzione è il momento in cui si gioca la partita.
E in Italia, dove la media di applicazione delle patch è di 30-40 giorni, quella finestra è enorm
La prossima zero-day è già là fuori, da qualche parte, che aspetta. La domanda non è se colpirà, ma quando — e se saremo pronti.