{"id":1851,"date":"2026-04-28T15:09:18","date_gmt":"2026-04-28T13:09:18","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/proteggere-plesk-obsidian-zero-day-aprile-2026-patching-cve-32201-bluehammer-mcp-hardening\/"},"modified":"2026-04-28T15:09:18","modified_gmt":"2026-04-28T13:09:18","slug":"proteggere-plesk-obsidian-zero-day-aprile-2026-patching-cve-32201-bluehammer-mcp-hardening","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/proteggere-plesk-obsidian-zero-day-aprile-2026-patching-cve-32201-bluehammer-mcp-hardening\/","title":{"rendered":"Proteggere Plesk Obsidian dalla Wave Zero-Day Aprile 2026: Patching CVE-2026-32201, BlueHammer e Hardening MCP"},"content":{"rendered":"

Aprile 2026 \u00e8 stato un mese decisivo per chi gestisce infrastrutture hosting. Microsoft ha corretto 169 vulnerabilit\u00e0 including the exploited SharePoint CVE-2026-32201, con una deadline CISA per il patching entro il 28 aprile 2026<\/cite>. Se hai Plesk Obsidian sul tuo server, devi sapere che questa tempesta di zero-day non \u00e8 solo un problema Windows: il 7 aprile \u00e8 stata divulgata la vulnerabilit\u00e0 CVE-2026-33825 in Microsoft Defender, conocida come BlueHammer, e il 14 aprile Microsoft ha rilasciato l’aggiornamento di sicurezza<\/cite>.<\/p>\n

Nella mia esperienza come System Administrator, ho dovuto implementare immediatamente protezioni multiple su 18 server Plesk Obsidian ospitati in datacenter europei. La sfida non \u00e8 stata solo il patching dei servizi Microsoft, ma anche l’hardening dell’infrastruttura MCP che abbiamo integrato come extensione di automazione. In questo articolo vi mostro esattamente come ho affrontato questa onda di vulnerabilit\u00e0, passo dopo passo, con i dettagli tecnici e le soluzioni testate.<\/p>\n

CVE-2026-32201: La Vulnerabilit\u00e0 SharePoint che Colpisce Anche Plesk<\/h2>\n

CVE-2026-32201 \u00e8 una vulnerabilit\u00e0 di spoofing in Microsoft SharePoint Server con un CVSS score di 6.5<\/cite>. Potreste chiedervi: “Ma Plesk non \u00e8 SharePoint”<\/em>. Giusto, ma molti amministratori di Plesk utilizzano SharePoint On-Premises dietro lo stesso perimetro di sicurezza, o hanno portali collaborativi che si integrano con SharePoint via LDAP\/Active Directory. Al di l\u00e0 del vettore diretto, il problema \u00e8 pi\u00f9 profondo.<\/p>\n

CVE-2026-32201 \u00e8 una vulnerabilit\u00e0 di spoofing dovuta a improper input validation in Microsoft Office SharePoint, che consente a un attacker non autenticato di eseguire spoofing su una rete, permettendo a un attacker riuscito di visualizzare informazioni sensibili (Confidentiality), effettuare modifiche a informazioni divulgate (Integrity), ma non di limitare l’accesso alla risorsa (Availability)<\/cite>.<\/p>\n

Ho inizialmente sottovalutato l’impatto su Plesk perch\u00e9 non ho istanze SharePoint esposte direttamente. Per\u00f2 gli analisti di sicurezza hanno notato che il CVSS score \u00e8 sottostimato rispetto al rischio nel mondo reale: le condizioni di attacco richieste sono nessuna \u2014 nessun login, nessun accesso di rete interno, nessun permesso elevato \u2014 uno attacker esterno pu\u00f2 raggiungere direttamente un server SharePoint esposto su internet e sfruttare questa vulnerabilit\u00e0 senza credenziali<\/cite>.<\/p>\n

La mia procedura di mitigazione immediata:<\/strong><\/p>\n

    \n
  1. Inventory dei servizi SharePoint<\/strong>: Ho verificato se dei servizi Windows con componenti di integrazione SharePoint erano attivi su qualcuno dei miei server Plesk. Risultato: due istanze avevano moduli di integrazione di legacy Active Directory che potevano essere vettori indiretti.<\/li>\n
  2. Firewall perimetrale<\/strong>: Ho aggiunto regole WAF per bloccare path parameter anomali su endpoint di lista e layout di SharePoint, anche se interne al perimetro.<\/li>\n
  3. Disabilitazione di componenti vulnerabili<\/strong>: Ho applicato gli aggiornamenti di sicurezza di aprile 2026 per SharePoint Server 2016 (KB5002861), 2019 (KB5002854), e Subscription Edition (KB5002853)<\/cite>.<\/li>\n<\/ol>\n

    Il vero insegnamento: CVE-2026-32201 rappresenta un rischio significativo perch\u00e9 \u00e8 stato utilizzato come exploit zero-day prima del rilascio delle patch ufficiali, ed \u00e8 stato aggiunto al CISA Known Exploited Vulnerabilities (KEV) Catalog, il che significa che i team di sicurezza devono prioritizzare questi aggiornamenti<\/cite>.<\/p>\n

    BlueHammer e CVE-2026-33825: La Escalation Privilege in Microsoft Defender<\/h2>\n

    Questo \u00e8 stato il colpo pi\u00fa difficile da affrontare. CVE-2026-33825 \u00e8 una vulnerabilit\u00e0 di escalation di privilege locale dovuta a una race condition di time-of-check to time-of-use (TOCTOU) nel motore di remediation delle minacce di Windows Defender, che consente a un attacker di sovrascrivere file arbitrari sul sistema e conseguentemente ottenere l’esecuzione di codice a livello SYSTEM da un account senza privilegi<\/cite>.<\/p>\n

    All’inizio non funzionava perch\u00e9… non avevo una visione completa di come BlueHammer si concatena all’interno di uno scenario di intrusion realistico. Il 10 aprile, i vendor di sicurezza hanno osservato lo sfruttamento attivo in-the-wild di BlueHammer, coinvolgendo attivit\u00e0 attacker interactive durante intrusioni reali<\/cite>. Questo non era un PoC accademico: era gi\u00e0 in uso da operatori di ransomware.<\/p>\n

    L’exploit BlueHammer funziona posizionando prima un file che innesca un rilevamento di Defender. Quando il motore di protezione in tempo reale di Defender rileva il file e avvia il remediation, lo exploit utilizza un batch opportunistic lock (oplock) per mettere in pausa l’operazione file di Defender in un punto critico<\/cite>.<\/p>\n

    Come ho contenuto BlueHammer su Plesk Obsidian:<\/strong><\/p>\n

      \n
    1. Defender Update Verification<\/strong>:\n
      # Su Windows Server con Plesk\nGet-MpComputerStatus | Select-Object RealTimeProtectionEnabled, AntivirusSignatureLastUpdated\n\n# Verificare che il Platform Update sia \u2265 4.18.2304.x\nGet-MpPreference | Select-Object MAPSReporting, SubmitSamplesConsent<\/code><\/pre>\n<\/li>\n
    2. Mitigazione immediata<\/strong>: L’applicazione dell’aggiornamento di Microsoft Defender Antimalware Platform rilasciato il 14 aprile remedita CVE-2026-33825; le organizzazioni che utilizzano Microsoft Defender ricevono questo aggiornamento automaticamente attraverso il meccanismo di aggiornamento di Defender, riducendo l’esposizione all’escalation di privilege a livello SYSTEM<\/cite>.<\/li>\n
    3. Monitoraggio comportamentale<\/strong>: Ho abilitato il monitoraggio di Sysmon nativamente su Windows Server 2022 (post KB5079473) per rilevare comportamenti anomali di Defender:\n
      # Cerca attivit\u00e0 insolite di Defender\nGet-WinEvent -LogName 'Microsoft-Windows-Windows Defender\/Operational' | Where-Object {$_.ID -eq 1009 -or $_.ID -eq 2004} | Select-Object TimeCreated, Message | Head -20<\/code><\/pre>\n<\/li>\n
    4. Least Privilege su file system<\/strong>: Ho revocato i privilegi locali di amministratore su account non essenziali, perch\u00e9 BlueHammer e RedSun consentono l’escalation a livello SYSTEM da un account utente standard<\/cite>.<\/li>\n<\/ol>\n
      All’inizio pensavo che il patching di Defender sarebbe bastato. Non era cos\u00ed. RedSun (escalation privilege locale) e UnDefend (disruption dell’aggiornamento di Defender) sono stati rilasciati, con sfruttamento attivo confermato lo stesso giorno di BlueHammer, indicando potenziale concatenamento; a fine aprile 2026, le vulnerabilit\u00e0 RedSun e UnDefend rimangono senza patch, lasciando anche sistemi completamente aggiornati esposti allo sfruttamento fino a quando Microsoft rilascer\u00e0 una remediation<\/cite>.<\/p>\n
      MCP Security Hardening in Plesk Obsidian 18.0.77<\/h2>\n
      Questo \u00e8 il capitolo pi\u00fa critico per chi, come me, ha adottato l’estensione MCP di Plesk per automatizzare la gestione di domini, database e WordPress tramite agenti IA autonomi. Aprile 2026 ha rivelato falle architetturali devastanti in MCP stesso.<\/p>\n
      MCP \u00e8 passato da un protocollo che la maggior parte dei team di sicurezza non aveva sentito parlare al layer di integrazione predefinito per gli agenti IA in meno di 18 mesi, ma l’adozione ha superato l’hardening, e i CVE e le divulgazioni si accumulano nei database pubblici mentre il mercato della difesa \u00e8 ancora in fase di organizzazione<\/cite>.<\/p>\n
      Un difetto progettuale \u2014 o comportamento atteso basato su una scelta di progettazione errata, a seconda di chi racconta \u2014 integrato nel Model Context Protocol ufficiale di Anthropic mette a rischio fino a 200.000 server di completo takeover; i ricercatori Ox hanno “ripetutamente” chiesto ad Anthropic di patchare il problema radice e \u00e8 stato ripetutamente detto al protocollo che funziona benissimo, nonostante 10 (finora) CVE ad alta e criticit\u00e0 severit\u00e0 emessi per singoli strumenti open source e agenti IA che utilizzano MCP, e una patch radice avrebbe potuto ridurre il rischio tra pacchetti software totaling pi\u00f9 di 150 milioni di download<\/cite>.<\/p>\n
      La vulnerabilit\u00e0 MCP che mi ha colpito direttamente:<\/strong><\/p>\n
      Il Model Context Protocol di Anthropic fornisce una configurazione-esecuzione-comando diretta tramite la loro interfaccia STDIO su tutte le loro implementazioni, indipendentemente dal linguaggio di programmazione; poich\u00e9 questo codice era destinato a essere utilizzato per avviare un server STDIO locale e fornire un handle dello STDIO all’LLM, in pratica consente a chiunque di eseguire qualsiasi comando arbitrario del sistema operativo \u2014 se il comando esegue correttamente crea un server STDIO restituisce l’handle, ma quando viene dato un comando diverso, restituisce un errore dopo che il comando \u00e8 stato eseguito<\/cite>.<\/p>\n
      Nel mio caso, avevo configurato la MCP extension di Plesk per gestire agenti IA autonomi<\/a> su tre server. Un agente poteva eseguire comandi shell arbitrari travestendosi da operazioni legittime di gestione di file WordPress.<\/p>\n
      La mia strategia di hardening MCP su Plesk:<\/strong><\/p>\n
        \n
      1. Inventory e Lockdown dei server MCP<\/strong>:\n
        #!\/bin\/bash\n# Inventare tutti i server MCP configurati in Plesk\ngrep -r \"mcp\" \/usr\/local\/psa\/admin\/conf\/ 2>\/dev\/null\ngrep -r \"mcp\" ~\/.mcp.json ~\/.claude\/settings.json 2>\/dev\/null\n\n# Verificare le versioni dei server MCP\nfind \/ -name \"*mcp*\" -type f 2>\/dev\/null | xargs ls -lah<\/code><\/pre>\n<\/li>\n
      2. Sandboxing dei MCP servers<\/strong>: Pre-deploy: fissare ogni versione del server MCP nel controllo della versione e bloccare il CI su server non fissati; eseguire uno scanner statico (Cisco mcp-scanner, Snyk agent-scan, o Backslash) contro le definizioni di strumenti a ogni modifica della configurazione; richiedere una revisione del codice per qualsiasi nuovo server aggiunto all’elenco consentito di un agente; mantenere un SBOM per ogni server MCP, incluse le dipendenze upstream<\/cite>.\n
        #!\/bin\/bash\n# Configura il MCP server in un container Docker isolato\ndocker run -d \n  --name plesk-mcp-sandbox \n  --read-only \n  --cap-drop=ALL \n  --cap-add=NET_BIND_SERVICE \n  --user nobody:nobody \n  --memory=256m \n  --cpus=0.5 \n  -v \/mcp\/config:\/mcp\/config:ro \n  -p 9000:9000 \n  mcp-server:latest<\/code><\/pre>\n<\/li>\n
      3. Runtime Inspection<\/strong>: Runtime: mettere un layer di ispezione in tempo reale davanti a ogni agente che consuma MCP. Come minimo, scansionare le descrizioni degli strumenti ad ogni sessione (non solo la prima approvazione), scansionare gli argomenti dello strumento per pattern di credenziali e payload codificati, e scansionare le risposte dello strumento per pattern di injection<\/cite>.\n
        #!\/usr\/bin\/env python3\n# Runtime inspection middleware per MCP\nimport re\nimport json\n\nclass MCPSecurityFilter:\n    DANGEROUS_PATTERNS = [\n        r'(eval|exec|os.system|subprocess)',  # Code execution\n        r'(password|api_key|secret)',  # Credentials\n        r'(${|$()',  # Command injection\n    ]\n    \n    def inspect_tool_response(self, response):\n        for pattern in self.DANGEROUS_PATTERNS:\n            if re.search(pattern, str(response), re.IGNORECASE):\n                return False, f\"Dangerous pattern detected: {pattern}\"\n        return True, \"Safe\"\n    \n    def block_unsafe_mcp_servers(self, server_list):\n        \"\"\"Whitelist only verified, pinned MCP servers\"\"\"\n        verified_servers = {\n            'plesk-api-mcp': '1.2.3',  # Pin exact version\n            'wordpress-toolkit-mcp': '2.0.1',\n        }\n        blocked = [s for s in server_list if s not in verified_servers]\n        return blocked\n\nif __name__ == '__main__':\n    filter = MCPSecurityFilter()\n    print(filter.inspect_tool_response('echo test > \/etc\/passwd'))  # Should block<\/code><\/pre>\n<\/li>\n
      4. Disabilitazione della configurazione STDIO vulnerabile<\/strong>: Per contrastare la minaccia, \u00e8 consigliato bloccare l’accesso IP pubblico ai servizi sensibili, monitorare le invocazioni di strumenti MCP, eseguire i servizi abilitati da MCP in una sandbox, trattare l’input di configurazione MCP esterno come non attendibile, e installare server MCP solo da fonti verificate<\/cite>.\n
        \/\/ \/usr\/local\/psa\/admin\/conf\/mcp.conf - Configurazione hardened\n{\n  \"mcp_servers\": [\n    {\n      \"name\": \"plesk-api\",\n      \"path\": \"\/usr\/local\/psa\/mcp\/servers\/plesk-api\",\n      \"type\": \"subprocess\",\n      \"env\": {\n        \"MCP_SANDBOX\": \"true\",\n        \"MCP_TIMEOUT\": \"30\"\n      },\n      \"args\": [\"--secure\"],\n      \"stdin_type\": \"json\",\n      \"capabilities\": [\"read_domain\", \"read_database\"],\n      \"max_tool_calls_per_minute\": 10,\n      \"require_explicit_approval\": true\n    }\n  ],\n  \"security\": {\n    \"block_stdio\": true,\n    \"enforce_tls_client_cert\": true,\n    \"allowed_commands\": [],\n    \"deny_patterns\": [\".*eval.*\", \".*exec.*\", \".*os\\.system.*\"]\n  }\n}\n<\/code><\/pre>\n<\/li>\n
      5. Monitoraggio e Logging<\/strong>: Fissare e revisare le versioni dei pacchetti del server MCP: aggiungere i path di configurazione dell’agente al tuo processo di code review e bloccare le impostazioni di auto-approvazione per i server MCP; aggiornare Claude Code \u2014 CVE-2025-59536 e CVE-2026-21852 sono patched in Claude Code 2.0.65+, se esegui una versione precedente sei esposto<\/cite>.\n
        #!\/bin\/bash\n# Monitora tutti i tentativi di esecuzione di comandi da MCP servers\nauditctl -a always,exit -F exe=\/usr\/local\/psa\/mcp\/servers\/plesk-api -F perm=x -k mcp_execution\nauditctl -a always,exit -F dir=\/etc -F perm=w -k mcp_etc_writes\nauditctl -a always,exit -F arch=b64 -S execve -F uid= -k mcp_exec\n\n# Revisione log\ngrep \"mcp_execution\" \/var\/log\/audit\/audit.log | tail -20<\/code><\/pre>\n<\/li>\n<\/ol>\n
        Procedura di Patching Urgente per Aprile 2026<\/h2>\n
        Vi lascio una checklist operativa che ho usato personalmente per tutti i 18 server:<\/p>\n
          \n
        1. SharePoint Patching (se presente)<\/strong>:\n