Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
Le patch di sicurezza Microsoft risolvono molteplici vulnerabilità zero-day attivamente sfruttate, incluse CVE nel kernel, SQL Server, NTFS e .NET con punteggi…
Contenuto
Scopri anche
- Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
- Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026
- L'AI nella sicurezza del software: tra scoperta di vulnerabilità e nuovi rischi
- Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
- OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software
- L'intelligenza artificiale nella sanità: tra opportunità cliniche e rischi algoretici
- Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
- Anthropic: Claude trova 22 vulnerabilità in Firefox in due settimane
- iOS 26.3.1: aggiornamento di stabilità, sicurezza e compatibilità per iPhone
- Stack Overflow e l'impatto dell'AI: declino delle domande e trasformazione strategica
- Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome
- Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
- Samsung Galaxy: patch di sicurezza febbraio 2026 e roadmap One UI 8.5
- ChatGPT e il panorama degli assistenti AI: modelli, alternative e strategie a confronto
- Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza
- Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- Project Helix: Xbox conferma la console di nuova generazione ibrida con supporto PC
- Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto
- Nuova leadership Xbox: Asha Sharma e il futuro della console
- CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
Microsoft rilascia aggiornamenti di sicurezza il secondo martedì di ogni mese, iniziativa nota come Patch Tuesday. I bollettini recenti hanno corretto decine di vulnerabilità, diverse delle quali classificate come zero-day, ovvero falle per le quali non esisteva una patch ufficiale al momento della scoperta o dello sfruttamento. La definizione tecnica di zero-day, secondo Microsoft, indica "una falla nel software per cui non è ancora disponibile una patch ufficiale o un aggiornamento di sicurezza". Una volta rilasciata la correzione, la vulnerabilità cessa tecnicamente di essere classificata come zero-day.
Vulnerabilità zero-day nel kernel Windows e nel file system NTFS
⬆ Torna suNel Patch Tuesday di novembre 2025, Microsoft ha distribuito una correzione per una falla critica nel kernel di Windows, identificata come CVE-2025-62215. Si tratta di una vulnerabilità di tipo elevazione di privilegi che, se sfruttata, consente a un attaccante autenticato di ottenere diritti SYSTEM, il controllo totale sul sistema operativo. Il bug risiede in una race condition e in una gestione errata della memoria definita "double free" all'interno del kernel. Il punteggio CVSS assegnato è 7.0. Secondo Microsoft, la vulnerabilità è stata utilizzata in attacchi reali prima della disponibilità del fix. Le versioni di Windows interessate includono Windows 10, Windows 11 e Windows Server 2019-2025.
Nel gennaio 2026, Microsoft ha pubblicato un aggiornamento che risolve due ulteriori vulnerabilità zero-day nel file system NTFS, classificate come CVE-2026-20840 e CVE-2026-20922. Entrambe hanno ricevuto un punteggio CVSS di 7.8 su 10 e sono state identificate come buffer overflow basati su heap. La prima riguarda la gestione non sicura dei dischi rigidi virtuali (VHD): un aggressore con accesso preventivo al sistema poteva predisporre un file VHD appositamente modificato per scrivere dati arbitrari in aree di memoria protette. La seconda deriva dalla mancanza di controlli di convalida nel codice del driver NTFS per le tabelle di servizio nella partizione del disco. In entrambi i casi, lo sfruttamento riuscito permetteva di ottenere privilegi di livello SYSTEM. Le vulnerabilità sono state scoperte da Sergey Tarasov del team di analisi delle vulnerabilità di Positive Technologies e hanno interessato oltre trenta versioni di sistemi operativi desktop e server.
CVE critiche in SQL Server e .NET
⬆ Torna suL'aggiornamento di marzo 2026 ha corretto 79 vulnerabilità Microsoft, tra cui due zero-day: CVE-2026-21262 e CVE-2026-26127. La CVE-2026-21262, con punteggio CVSS 8.8 su 10, è una vulnerabilità in Microsoft SQL Server che consente a un utente autenticato di elevare i propri privilegi fino a diventare amministratore del database (sysadmin). Con tale livello di controllo, l'attaccante può leggere, modificare o eliminare dati, creare nuovi account e manomettere le configurazioni. Lo sfruttamento non richiede interazione utente: può avvenire tramite richieste SQL contraffatte che abusano dei controlli di autorizzazione difettosi. Secondo l'analisi tecnica, questa vulnerabilità rappresenta spesso il secondo anello in una catena di attacco: prima l'accesso con privilegi ridotti, poi l'elevazione tramite la CVE.
La CVE-2026-26127, con CVSS 7.5, è una vulnerabilità nella piattaforma .NET che permette a un attaccante di causare il crash remoto delle applicazioni .NET, provocando negazione del servizio. La falla riguarda Microsoft .NET 9.0 e 10.0 su Windows, macOS e Linux, nel runtime e nelle librerie. Qualsiasi applicazione compilata con le versioni interessate era a rischio fino all'applicazione della patch. Gli effetti concreti includono tempi di inattività e degrado delle prestazioni per servizi web pubblici, sistemi di pagamento e applicazioni aziendali basate su .NET.
Vulnerabilità in Windows Shell, MSHTML e Office
⬆ Torna suSecondo quanto riportato, le vulnerabilità CVE-2026-21510 e CVE-2026-21513 hanno interessato rispettivamente la shell di Windows e il motore MSHTML integrato in Internet Explorer. La CVE-2026-21510 consente di bypassare la funzionalità SmartScreen di Microsoft dopo che l'utente ha cliccato su un link dannoso. Secondo l'esperto di sicurezza Dustin Childs, questa falla può essere utilizzata per installare malware da remoto. Un portavoce di Google ha sottolineato che la vulnerabilità era oggetto di sfruttamento attivo e diffuso. La CVE-2026-21513 riguarda MSHTML e permette di aggirare le funzionalità di sicurezza del sistema operativo per installare malware. Il contributo alla scoperta è stato attribuito ai ricercatori del Threat Intelligence Group di Google.
Nel bollettino di marzo 2026 sono state corrette anche due vulnerabilità di esecuzione di codice remoto in Microsoft Office, identificate come CVE-2026-26110 e CVE-2026-26113, sfruttabili tramite il riquadro di anteprima. È stata inoltre corretta la CVE-2026-26144, una vulnerabilità di divulgazione informazioni in Excel che poteva essere utilizzata per esfiltrare dati tramite Microsoft Copilot. Nessuna di queste vulnerabilità Office è stata segnalata come attivamente sfruttata.
Definizione tecnica e meccanismi degli attacchi zero-day
⬆ Torna suUn attacco zero-day sfrutta una vulnerabilità sconosciuta o non ancora corretta prima che lo sviluppatore possa rilasciare una patch. Il termine indica che il fornitore ha "zero giorni" di tempo per risolvere il problema. Le vulnerabilità zero-day sono particolarmente pericolose perché gli unici a conoscerle sono gli autori degli attacchi. Gli exploit zero-day sono in vendita sul Dark Web a cifre elevate. Dopo che un exploit viene identificato e corretto, cessa di essere una minaccia zero-day.
Gli attaccanti utilizzano spesso tecniche di ingegneria sociale per raggiungere i sistemi vulnerabili: messaggi che appaiono provenire da contatti legittimi ma che in realtà invitano l'utente ad aprire file o visitare siti dannosi. Le organizzazioni vittime possono rilevare traffico imprevisto o attività di scansione sospetta. Le vulnerabilità di elevazione di privilegi nel kernel sono considerate una delle vie più rapide per il controllo degli endpoint e vengono spesso utilizzate come secondo passo in catene di attacco, dopo una compromissione iniziale tramite phishing.
Raccomandazioni operative
⬆ Torna suMicrosoft e i ricercatori di sicurezza consigliano di installare tempestivamente gli aggiornamenti di sicurezza. Per i sistemi Windows, l'aggiornamento è accessibile tramite Impostazioni, Windows Update, e poi "Verifica disponibilità aggiornamenti". Chi non può installare le patch dovrebbe evitare di aprire file VHD da fonti non attendibili e prestare attenzione ai link sospetti. Le best practice di cybersecurity includono: mantenere aggiornati tutti i software e sistemi operativi, utilizzare solo le applicazioni essenziali per ridurre la superficie di attacco, configurare firewall per consentire solo le transazioni necessarie, formare gli utenti sui rischi di ingegneria sociale e utilizzare soluzioni antivirus complete. Le organizzazioni dovrebbero monitorare costantemente i bollettini di sicurezza ufficiali e adottare strategie di sicurezza multilivello.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa correzione simultanea di vulnerabilità critiche nel kernel, in SQL Server e nelle applicazioni desktop riduce il rischio di compromissione, ma richiede un coordinamento rapido tra i team IT. La persistenza di falle attivamente sfruttate suggerisce un aumento della sofisticazione degli attacchi.
- Scenario 1: Le vulnerabilità di elevazione dei privilegi nel kernel e in NTFS potrebbero essere utilizzate come secondo stadio in catene di attacco, richiedendo monitoraggio rigoroso sugli accessi iniziali.
- Scenario 2: Le falle in SQL Server potrebbero favorire accessi non autorizzati ai dati sensibili, rendendo cruciale la revisione dei permessi sui database.
- Scenario 3: Il bypass di SmartScreen potrebbe incrementare il rischio di infezioni tramite navigazione web, richiedendo maggiore cautela nell'apertura di link esterni.
Cosa monitorare
⬆ Torna su- Tempi di distribuzione delle patch su sistemi Windows 10, 11 e Server 2019-2025.
- Segnalazioni di log anomali legati a privilegi SYSTEM o attività di rete sospette da parte delle applicazioni .NET.
- Eventuali tentativi di sfruttamento su file VHD provenienti da fonti non attendibili.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.malwarebytes.com/blog/news/2026/03/march-2026-patch-tuesday-fixes-two-zero-day-vulnerabilities
- https://www.windowsblogitalia.com/2026/03/microsoft-patch-sicurezza-vulnerabilita-marzo-2026/
- https://www.libero.it/tecnologia/attacco-informatico-0-day-microsoft-patch-sicurezza-112399
- https://www.redhotcyber.com/post/allarme-windows-due-gravi-zero-day-nel-file-system-ntfs-mettono-a-rischio-milioni-di-pc/
- https://www.cybersecurity360.it/news/aggiornamenti-microsoft-settembre-2025-corrette-due-zero-day-attivamente-sfruttate/
- https://prothect.it/microsoft/windows-kernel-zero-day-vulnerabilita-grave-aggiornamento-novembre-2025-windows-kernel-zero-day-vulnerabilita-grave-aggiornamento-novembre-2025articolo-sintesi-e-consigli-immediatiu/
- https://www.kaspersky.it/resource-center/definitions/zero-day-exploit
In breve
- microsoft
- zero-day
- cve
- patch