Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati

Microsoft corregge 59 vulnerabilità nel Patch Tuesday di febbraio 2026, includendo sei zero-day attivamente sfruttati. CISA impone scadenza del 3 marzo per le…

Contenuto

Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati

Scopri anche

Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati

Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati

In questo articolo:

Il 10 febbraio 2026 Microsoft ha rilasciato l'aggiornamento di sicurezza mensile che corregge 59 vulnerabilità appena disclosure. Di queste, sei sono state classificate come zero-day già sfruttati attivamente in attacchi reali, mentre tre erano già note pubblicamente al momento del rilascio delle patch. La Cybersecurity and Infrastructure Security Agency (CISA) ha inserito tutte e sei le vulnerabilità nel catalogo Known Exploited Vulnerabilities (KEV), imponendo alle agenzie federali civili statunitensi di applicare le correzioni entro il 3 marzo 2026.

Il panorama delle vulnerabilità corrette

⬆ Torna su

Delle 59 vulnerabilità corrette, cinque sono classificate come Critical, 52 come Important e due come Moderate. La distribuzione per tipologia vede 25 vulnerabilità di privilege escalation, 12 di remote code execution, sette di spoofing, sei di information disclosure, cinque di security feature bypass, tre di denial-of-service e una di cross-site scripting. La concentrazione di zero-day sfruttati colpisce componenti core di Windows e Office, elemento che according alle fonti rende questo aggiornamento particolarmente urgente per gli ambienti enterprise.

Al netto delle vulnerabilità specifiche di febbraio, Microsoft ha corretto ulteriori tre difetti nel browser Edge dal rilascio del Patch Tuesday di gennaio 2026, inclusa una vulnerabilità Moderate che riguarda Edge per Android (CVE-2026-0391, punteggio CVSS 6.5) che potrebbe consentire a un attaccante non autorizzato di eseguire spoofing via rete sfruttando una "errata rappresentazione dell'interfaccia utente di informazioni critiche".

Le sei vulnerabilità zero-day sfruttate

⬆ Torna su

La vulnerabilità CVE-2026-21510 (punteggio CVSS 8.8 su 10) è un security feature bypass che riguarda Windows Shell. Un fallimento del meccanismo di protezione consente a un attaccante di aggirare Windows SmartScreen e prompt simili convincendo un utente ad aprire un collegamento o file shortcut malevolo. Lo sfruttamento avviene via rete ma richiede interazione dell'utente: la vittima deve essere ingannata per lanciare il collegamento compromesso. Una volta attivato, l'attaccante può sopprimere i normali dialoghi di sicurezza per contenuti non attendibili, facilitando il rilascio di payload aggiuntivi senza generare sospetti nell'utente.

CVE-2026-21513 (CVSS 8.8) colpisce il framework MSHTML, componente utilizzato da Internet Explorer per il rendering web. Classificato come protection mechanism failure, il difetto consente di bypassare controlli di sicurezza in MSHTML aprendo un file HTML malevolo o uno shortcut (.lnk) che sfrutta MSHTML per il rendering. Jack Bicer, director of vulnerability research presso Action1, ha spiegato che il difetto è causato da un fallimento del meccanismo di protezione che permette agli attaccanti di aggirare i prompt di esecuzione quando gli utenti interagiscono con file malevoli. Un file appositamente predisposto può bypassare silenziosamente i prompt di sicurezza di Windows e innescare azioni pericolose con un singolo click.

CVE-2026-21514 (CVSS 5.5) riguarda Microsoft Word e deriva da input non attendibili in una decisione di sicurezza, portando a un security feature bypass locale. L'attaccante deve persuadere l'utente ad aprire un documento Word malevolo. Se sfruttato, l'input non attendibile viene processato incorrettamente, potenzialmente bypassando le difese di Word per contenuti embedded o attivi. Satnam Narang di Tenable ha evidenziato che CVE-2026-21513 e CVE-2026-21514 presentano "molte similitudini" con CVE-2026-21510, con la differenza che CVE-2026-21513 può essere sfruttato anche tramite file HTML, mentre CVE-2026-21514 richiede necessariamente un file Microsoft Office.

CVE-2026-21519 (CVSS 7.8) è una vulnerabilità di local elevation of privilege nel Windows Desktop Window Manager causata da type confusion. Un attaccante autenticato localmente con privilegi bassi e senza necessità di interazione utente può sfruttare il difetto per ottenere privilegi SYSTEM. Come spiegato da Kev Breen di Immersive, l'attaccante deve aver già ottenuto accesso all'host compromesso attraverso allegati malevoli, vulnerabilità remote code execution o movimento laterale da altri sistemi compromessi. Una volta ottenuti i privilegi SYSTEM, l'attaccante può disabilitare strumenti di sicurezza, distribuire malware aggiuntivo o accedere a segreti e credenziali che potrebbero portare al compromesso completo del dominio.

CVE-2026-21525 (CVSS 6.2) è una vulnerabilità denial-of-service nel servizio Windows Remote Access Connection Manager (RasMan). Un attaccante locale non autenticato può innescare il difetto con bassa complessità di attacco, causando un impatto elevato sulla disponibilità ma nessun impatto diretto su confidenzialità o integrità. Ryan Braunstein di Automox ha sottolineato che il difetto dovrebbe essere corretto rapidamente poiché potrebbe causare problemi diffusi: il servizio RasMan è responsabile del mantenimento delle connessioni VPN verso reti aziendali. Un attaccante con un accesso standard può eseguire uno script che crasha il servizio, e nelle organizzazioni che usano VPN always-on con policy "fail close", gli endpoint perdono completamente l'accesso di rete, impedendo ai team IT di raggiungerli per applicare patch o eseguire automazioni.

CVE-2026-21533 (CVSS 7.8) è un elevation of privilege nei Windows Remote Desktop Services causato da gestione impropria dei privilegi. Un attaccante locale autenticato con privilegi bassi può escalare a SYSTEM e compromettere completamente confidenzialità, integrità e disponibilità del sistema. Adam Meyers di CrowdStrike ha dichiarato che il binary exploit di CVE-2026-21533 modifica una chiave di configurazione del servizio, sostituendola con una chiave controllata dall'attaccante, consentendo di aggiungere un nuovo utente al gruppo Administrator. CrowdStrike Intelligence ha rilevato che attori di minaccia hanno utilizzato questo binary per colpire entità statunitensi e canadesi almeno dal 24 dicembre 2025.

Il contesto degli attacchi

⬆ Torna su

Tra gli aggiornamenti di sicurezza di gennaio e febbraio 2026, Microsoft ha rilasciato un aggiornamento out-of-band per una vulnerabilità zero-day ad alta severità in Microsoft Office, tracciata come CVE-2026-21509. Questa vulnerabilità consente agli attaccanti di bypassare le funzionalità di sicurezza di Office ed eseguire codice arbitrario localmente convincendo un utente ad aprire un documento Office appositamente predisposto. Poco dopo la disclosure, i report hanno indicato che l'attore di minaccia di nesso russo APT28 ha sfruttato questa vulnerabilità in attacchi di social engineering mirati contro individui nell'Europa orientale, inclusi Ucraina, Slovacchia e Romania.

CrowdStrike, accreditato per la segnalazione di CVE-2026-21533, ha dichiarato di non attribuire l'attività di sfruttamento a un avversario specifico, ma ha notato che gli attori di minaccia in possesso dei binary exploit probabilmente intensificheranno gli sforzi per utilizzarli o venderli nel breve termine. La disclosure pubblica di CVE-2026-21533 da parte di Microsoft quasi certamente incoraggerà gli attori di minaccia che possiedono i binary exploit a usarli o monetizzarli nel breve termine.

Vulnerabilità critiche in Azure

⬆ Torna su

L'aggiornamento di febbraio corregge anche vulnerabilità Critical che riguardano servizi Azure, dove lo sfruttamento riuscito potrebbe portare a information disclosure o privilege escalation in ambienti cloud. Sebbene nessuna delle vulnerabilità Azure sia attualmente elencata come sfruttata, la severità Critical indica che gli amministratori cloud dovrebbero dare priorità alla validazione e al deployment, particolarmente in deployment multi-tenant o internet-facing. Due vulnerabilità critiche in Azure hanno punteggi CVSS di 9.8 su 10.

Aggiornamenti Secure Boot

⬆ Torna su

Contestualmente agli aggiornamenti di sicurezza, Microsoft ha iniziato il rollout di nuovi certificati Secure Boot per sostituire i certificati originali del 2011 che scadranno alla fine di giugno 2026. I nuovi certificati verranno installati attraverso il normale processo di aggiornamento mensile di Windows senza azioni aggiuntive. Se un dispositivo non riceve i nuovi certificati Secure Boot prima della scadenza di quelli del 2011, il PC continuerà a funzionare normalmente e il software esistente continuerà a girare. Tuttavia, il dispositivo entrerà in uno stato di sicurezza degradata che limiterà la capacità di ricevere future protezioni a livello di boot.

Man mano che nuove vulnerabilità a livello di boot vengono scoperte, i sistemi interessati diventano progressivamente esposti perché non possono più installare nuove mitigazioni. Nel tempo, questo potrebbe portare anche a problemi di compatibilità, poiché sistemi operativi più recenti, firmware, hardware o software dipendente da Secure Boot potrebbero fallire il caricamento.

Nuove iniziative di sicurezza

⬆ Torna su

Microsoft ha annunciato il rafforzamento delle protezioni predefinite in Windows attraverso due iniziative: Windows Baseline Security Mode e User Transparency and Consent. Questi aggiornamenti rientrano nell'ambito della Secure Future Initiative e della Windows Resiliency Initiative. Con Windows Baseline Security Mode, Windows opererà con safeguard di runtime integrity abilitate per impostazione predefinita, garantendo che solo app, servizi e driver firmati correttamente siano autorizzati a girare, proteggendo il sistema da manomissioni o modifiche non autorizzate.

User Transparency and Consent, analogo al framework TCC (Transparency, Consent and Control) di macOS, introduce un approccio coerente alla gestione delle decisioni di sicurezza. Il sistema operativo richiederà agli utenti quando le app tentano di accedere a risorse sensibili come file, fotocamera o microfono, o quando tentano di installare altro software non intenzionale. Logan Iyer, Distinguished Engineer presso Microsoft, ha dichiarato che questi prompt sono progettati per essere chiari e azionabili, con la possibilità di rivedere e modificare le scelte in seguito. Anche app e agenti AI dovranno soddisfare standard di trasparenza più elevati.

Raccomandazioni per il deployment

⬆ Torna su

Per gli ambienti misti con Windows, Office ed Exchange, le fonti indicano un ordine di priorità: applicare i cumulative update più recenti per Windows 11 e Windows 10 ESU su server internet-facing e endpoint ad alto rischio, focalizzandosi sulla chiusura dei zero-day; correggere Office nelle Microsoft 365 Apps e installazioni on-prem per le vulnerabilità Office-related; deployare i Security Update di febbraio 2026 per Exchange Server Subscription Edition ed Exchange Server 2019, specialmente su server raggiungibili da internet; verificare che i sistemi coperti da Extended Security Updates abbiano ricevuto il cumulative update e il servicing stack update.

Prima di applicare gli aggiornamenti su sistemi di produzione, le organizzazioni dovrebbero condurre test approfonditi, considerando che ogni mese gli utenti riscontrano problemi con gli aggiornamenti Windows che portano a sistemi che non si avviano, problemi di compatibilità di applicazioni e hardware, o in casi estremi perdita di dati. Gli strumenti di backup integrati in Windows e Windows Server consentono di ripristinare un intero sistema o file e cartelle a livello granulare nel caso in cui una patch causi problemi.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La contemporanea presenza di sei zero-day già sfruttati in componenti core come Windows Shell, MSHTML e Word aumenta il rischio di attacchi basati su social engineering. La correzione delle vulnerabilità Azure con punteggio CVSS 9.8 richiede attenzione prioritaria negli ambienti cloud esposti.

  • Scenario 1: gli attori di minaccia in possesso dei binary exploit potrebbero intensificare gli attacchi entro la finestra temporale prima del deployment diffuso delle patch, come suggerito dalle osservazioni di CrowdStrike.
  • Scenario 2: le organizzazioni con VPN always-on potrebbero subire interruzioni operative significative se CVE-2026-21525 venisse sfruttata prima dell'applicazione della correzione.
  • Scenario 3: i dispositivi che non ricevono i nuovi certificati Secure Boot entro giugno 2026 potrebbero presentare limitazioni nella protezione dell'avvio, pur mantenendo la funzionalità.

Cosa monitorare

⬆ Torna su
  • Tempi di adozione delle patch nelle agenzie federali rispetto alla scadenza CISA del 3 marzo 2026.
  • Eventuali nuovi report di sfruttamento attivo delle vulnerabilità Azure corrette.
  • Stato del rollout dei certificati Secure Boot nei parco aziendali.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • microsoft
  • Microsoft
  • CISA
  • CrowdStrike

Link utili

Apri l'articolo su DeafNews