Scopri anche

• Microsoft Patch Tuesday aprile 2026: 167 vulnerabilità corrette, due zero-day
• Mythos e il Progetto Glasswing: quando l'IA trova falle ignorate da 27 anni
• Samsung Galaxy: patch di sicurezza aprile 2026 e beta One UI 8.5 per pieghevoli e serie S
• BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office
• CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS
• Microsoft ridimensiona Copilot in Windows 11: funzioni AI eliminate e maggiore controllo per gli utenti
• Mythos, il modello AI che trova vulnerabilità zero-day: Anthropic sceglie di non rilasciarlo
• Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel
• Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword
• Microsoft rilascia aggiornamento di emergenza per Windows 11 e delinea piano di miglioramenti per il 2026
• La settimana che ha cambiato la sicurezza informatica: Claude Code, il leak e l'exploit FreeBSD
• Funzionalità nascoste e avanzate della console Xbox: guida completa alle opzioni meno note
• Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword: analisi della minaccia
• Xbox Game Pass Aprile 2026: il lineup completo tra day-one e titoli confermati
• DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
• Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword
• Microsoft introduce l'intelligenza multi-modello in Researcher e Copilot Cowork
• Vitalik Buterin dettaglia la sua configurazione LLM locale e autonoma

Microsoft Patch Tuesday aprile 2026: corrette 167 vulnerabilità con due zero-day

Microsoft Patch Tuesday aprile 2026: corrette 167 vulnerabilità con due zero-day

Microsoft ha rilasciato gli aggiornamenti di sicurezza del Patch Tuesday di aprile 2026, correggendo complessivamente 167 vulnerabilità nei propri prodotti. La tornata include la risoluzione di due zero-day, di cui una attivamente sfruttata in attacchi reali e l'altra pubblicamente divulgata. Otto vulnerabilità sono classificate come critiche, sette delle quali permettono l'esecuzione di codice da remoto e una riguarda un problema di denial of service.

Le due zero-day: SharePoint e Microsoft Defender

⬆ Torna su

La vulnerabilità zero-day attivamente sfruttata è tracciata con l'identificativo CVE-2026-32201 e interessa Microsoft Office SharePoint Server. Si tratta di una falla di tipo spoofing causata da una validazione impropria dell'input, che consente a un attaccante non autorizzato di effettuare spoofing tramite rete. Il punteggio CVSS assegnato è 6.5 su 10. Un attaccante che sfrutti con successo questa vulnerabilità può visualizzare informazioni sensibili violandone la riservatezza e apportare modifiche ai dati divulgati compromettendone l'integrità, senza però poter limitare l'accesso alla risorsa. Microsoft non ha rivelato i dettagli dello sfruttamento negli attacchi né chi li abbia portati avanti.

La seconda zero-day, monitorata come CVE-2026-33825 con punteggio CVSS di 7.8, è una vulnerabilità di escalation dei privilegi che riguarda la piattaforma antimalware Microsoft Defender. Consente a un attaccante locale di elevare i propri privilegi al livello SYSTEM, ottenendo il controllo completo del sistema interessato. A quel livello, un attaccante può disabilitare strumenti di sicurezza, installare malware persistente, raccogliere credenziali e spostarsi lateralmente verso altri sistemi nella stessa rete. Questa vulnerabilità è stata pubblicamente divulgata, circostanza che spesso riduce la barriera per i criminali informatici per iniziare a sfruttarla. La correzione è inclusa nell'aggiornamento della piattaforma Microsoft Defender Antimalware alla versione 4.18.26050.3011, distribuita automaticamente sui sistemi. Gli utenti Windows possono installarla manualmente attraverso i Protection Update in Windows Security. La scoperta della falla è accreditata a Zen Dodd e Yuanpei XU dell'Università HUST in collaborazione con Diffract.

Vulnerabilità critiche e remote code execution

⬆ Torna su

Microsoft ha corretto diverse vulnerabilità di esecuzione di codice da remoto in Microsoft Office, specificamente in Word ed Excel. Queste possono essere sfruttate tramite il pannello di anteprima o aprendo documenti dannosi. Le falle identificate come CVE-2026-32190, CVE-2026-33114 e CVE-2026-33115 richiedono l'esecuzione di codice su un sistema locale pur essendo attivabili da remoto. Sebbene nessuna di queste falle sia ritenuta di facile sfruttamento, l'aggiornamento è caldamente consigliato soprattutto per gli utenti che ricevono frequentemente allegati.

Tra le vulnerabilità critiche figura CVE-2026-23666, che interessa il framework .NET e potrebbe consentire a un attaccante di eseguire un attacco denial of service tramite rete. Un'altra falla critica, CVE-2026-32157, riguarda il Remote Desktop Client: è una vulnerabilità use-after-free che può portare all'esecuzione di codice se un utente si connette a un server malevolo. CVE-2026-33824 prende di mira l'estensione Windows Internet Key Exchange (IKE) e consente a attaccanti non autenticati di inviare pacchetti appositamente predisposti per ottenere l'esecuzione di codice da remoto. Microsoft raccomanda di bloccare le porte UDP inbound 500 e 4500 se IKE non è in uso come misura di mitigazione.

Altre vulnerabilità notevoli

⬆ Torna su

Il bollettino include vulnerabilità in Active Directory (CVE-2026-33826) e in Windows TCP/IP (CVE-2026-33827), entrambe potenzialmente in grado di abilitare l'esecuzione di codice da remoto in condizioni specifiche. I ricercatori di sicurezza hanno segnalato diverse falle come più probabili da sfruttare, incluse vulnerabilità in UEFI Secure Boot (CVE-2026-0390), divulgazione di memoria del Windows Kernel (CVE-2026-26169) e molteplici problemi di escalation dei privilegi che interessano componenti come WinSock, BitLocker e Desktop Window Manager.

Ulteriori vulnerabilità riguardano problemi di spoofing in Remote Desktop e Windows Shell, oltre a falle di bypass della sicurezza in Windows Hello e BitLocker. Al di fuori dell'ecosistema Microsoft, nel periodo del Patch Tuesday di aprile anche Google ha rilasciato correzioni per la quarta vulnerabilità zero-day di Chrome del 2026, mentre Adobe ha pubblicato un aggiornamento di emergenza per Acrobat Reader per risolvere una falla di esecuzione di codice da remoto attivamente sfruttata.

Distribuzione degli aggiornamenti

⬆ Torna su

Gli aggiornamenti correggono problemi di sicurezza e mantengono i PC Windows protetti. Le correzioni vengono scaricate automaticamente sui sistemi configurati per gli aggiornamenti automatici. Gli utenti possono verificare manualmente la disponibilità di aggiornamenti accedendo a Windows Security, selezionando Virus e protezione da minacce, quindi Protection Updates e facendo clic su Verifica aggiornamenti. Per gli ambienti aziendali è consigliato testare le patch in ambiente di staging prima del deployment in produzione.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La presenza di una zero-day attivamente sfruttata in SharePoint Server e di una seconda divulgata pubblicamente in Microsoft Defender configura un perimetro di rischio articolato per le organizzazioni. La combinazione di falle di spoofing e escalation dei privilegi potrebbe agevolare catene d'attacco multi-stadio.

• Scenario 1: la divulgazione pubblica della vulnerabilità in Defender potrebbe ridurre il tempo necessario per lo sviluppo di exploit funzionali, aumentando la pressione sui team di sicurezza per accelerare l'aggiornamento.
• Scenario 2: le vulnerabilità RCE in Remote Desktop Client e IKE potrebbero essere sfruttate in ambienti con esposizione di rete non controllata, specialmente dove le porte UDP 500 e 4500 rimangono aperte.
• Scenario 3: i problemi riscontrati in BitLocker e Windows Hello potrebbero richiedere valutazioni aggiuntive sulle strategie di protezione degli endpoint in ambienti ad alta sensibilità.

Cosa monitorare

⬆ Torna su

• Segnalazioni di sfruttamento in the wild della CVE-2026-33825 nelle ore successive al rilascio.
• Tempi di adozione delle patch negli ambienti aziendali, con particolare attenzione a SharePoint Server.
• Eventuali indicazioni tecniche aggiuntive da parte di Microsoft sulle modalità d'attacco osservate.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.securityopenlab.it/news/6298/patch-tuesday-di-aprile-microsoft-chiude-167-falle-2-zero-day.html
• https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2026-patch-tuesday-fixes-167-flaws-2-zero-days/
• https://www.malwarebytes.com/blog/news/2026/04/april-patch-tuesday-fixes-two-zero-days-including-one-under-active-attack
• https://malware.news/t/april-patch-tuesday-fixes-two-zero-days-including-one-under-active-attack/106088
• https://prothect.it/aggiornamenti/microsoft-patch-tuesday-di-aprile-2026-corregge-168-vulnerabilita-inclusa-una-zero-day-sfruttata-attivamente/
• https://www.windowsblogitalia.com/2026/04/microsoft-patch-sicurezza-vulnerabilita-aprile-2026/
• https://thecyberexpress.com/microsoft-patch-tuesday-april-2026/