Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
Allarme CISA KEV: ScreenConnect e Windows sotto attacco reale, patch subito
La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo due vulnerabilità attivamente sfruttate che riguardano ConnectWise ScreenConnect e Microsoft Windows. Questo elenco è un riferimento operativo per la gestione delle patch e per la riduzione del rischio, soprattutto negli ambienti dove la superficie di attacco include strumenti di accesso remoto e postazioni Windows diffuse.
La prima falla è CVE-2024-1708 con punteggio CVSS 8.4. Si tratta di una vulnerabilità di path traversal in ConnectWise ScreenConnect che può consentire a un attaccante di eseguire codice da remoto o di impattare direttamente dati riservati e sistemi critici. La correzione risulta disponibile da febbraio 2024, ma la presenza nel KEV indica che esistono prove di sfruttamento reale e che i sistemi non aggiornati continuano a rappresentare un bersaglio pratico. In scenari di attacco, le vulnerabilità su piattaforme di remote management sono particolarmente appetibili perché possono offrire un punto di ingresso privilegiato e scalabile verso reti aziendali e clienti gestiti.
La seconda vulnerabilità è CVE-2026-32202 con punteggio CVSS 4.3 e interessa Windows Shell. È classificata come failure di un meccanismo di protezione e può permettere spoofing in rete da parte di un attaccante non autorizzato. Anche se il punteggio è più basso, la conferma di sfruttamento attivo alza la priorità di intervento. La patch è stata rilasciata ad aprile 2026 e l’inserimento nel KEV segue un aggiornamento delle informazioni di sicurezza che riconosce l’utilizzo della falla in attacchi reali.
Nel contesto di Windows, è stato evidenziato che la vulnerabilità sarebbe collegata a una patch incompleta per una falla precedente, con riferimenti a campagne che hanno coinvolto anche vulnerabilità zero-day in attacchi mirati. Sul fronte ScreenConnect, CVE-2024-1708 è stata in passato concatenata con CVE-2024-1709, una vulnerabilità critica di authentication bypass con CVSS 10.0, sfruttata da più attori malevoli. In alcune campagne recenti lo sfruttamento è stato associato a distribuzione di ransomware, aumentando l’impatto potenziale su continuità operativa e dati.
Per le agenzie FCEB è previsto l’obbligo di applicare le correzioni entro il 12 maggio 2026, un segnale utile anche per le aziende che vogliono allineare le proprie scadenze di patching a standard elevati e basati su minacce concrete.