Riepilogo notizie IT: 17 maggio 2026: OpenAI violata, zero-day in Exchange e exploit a Pwn2Own

Un compatto riepilogo sulla sicurezza per team di prodotto e ingegneria: arresti da parte delle forze dell'ordine, diverse divulgazioni da Pwn2Own, uno zero-day in Exchange in uso su scala reale, una divulgazione controversa su Azure e una violazione della catena di fornitura che ha interessato OpenAI.

Vittorie delle forze dell'ordine dopo un errore operativo

Una coppia di presunti cybercriminali è stata identificata e arrestata dopo che, secondo quanto riportato, non erano riusciti a disattivare la registrazione di Microsoft Teams durante un'operazione. La copertura della settimana segnala anche un arresto legato a un presunto capo di un mercato darknet e che l'incidente ransomware che ha coinvolto Instructure Canvas è giunto a conclusione.

Pwn2Own Berlin Giorno 1: Windows 11 e Edge presi di mira

Nel primo giorno di Pwn2Own Berlin 2026, i team partecipanti hanno dimostrato 24 exploit zero-day distinti e hanno guadagnato premi in denaro per un totale di $523,000. Tra i prodotti dimostrati vulnerabili c'erano Windows 11 e Microsoft Edge.

Pwn2Own Berlin Giorno 2: Exchange, Windows e RHEL mostrano ulteriori falle

Il secondo giorno del contest ha prodotto un altro ciclo di dimostrazioni riuscite: i ricercatori hanno sfruttato 15 zero-day unici e hanno ricevuto premi in contanti per $385,750. I bersagli includevano Windows 11, Microsoft Exchange e Red Hat Enterprise Linux for Workstations.

Microsoft segnala un zero-day di Exchange Server sfruttato attivamente

Microsoft ha pubblicato mitigazioni per una vulnerabilità ad alta gravità in Exchange Server che è stata impiegata in attacchi. La vulnerabilità consente l'esecuzione di codice arbitrario tramite un vettore di cross-site scripting che prende di mira specificamente gli utenti di Outlook on the web.

Disputa su un report relativo ad Azure Backup for AKS e CVE mancante

Un ricercatore afferma che Microsoft ha risolto silenziosamente un problema critico che interessava Azure Backup for AKS senza rilasciare un CVE dopo aver inizialmente respinto il report. Microsoft contesta questa versione, affermando che il comportamento osservato era previsto e che non sono state apportate modifiche al prodotto.

OpenAI conferma una violazione legata all'incidente della catena di fornitura di TanStack

OpenAI ha riconosciuto che due dispositivi di dipendenti sono stati compromessi durante il recente attacco alla catena di fornitura di TanStack che ha interessato centinaia di pacchetti npm e PyPI. Per precauzione, l'azienda ha ruotato i certificati di firma del codice per le sue applicazioni.

Rapido riepilogo: Questa settimana ha combinato dimostrazioni di exploit ad alta visibilità e incidenti attivi con azioni di contrasto di rilievo e dispute tra vendor. I team che distribuiscono software dovrebbero monitorare le mitigazioni divulgate per Exchange, seguire gli avvisi sulla catena di fornitura e tenere d'occhio eventuali aggiornamenti dai vendor interessati.