Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate

Analisi delle patch di sicurezza di febbraio 2026: 59 vulnerabilità Microsoft corrette, 6 zero-day già sfruttate in the wild. Impatti su Windows, Office, cloud…

Contenuto

Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate

Scopri anche

Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate

Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate

In questo articolo:

Il Patch Tuesday di febbraio 2026 ha visto oltre 60 aziende rilasciare patch essenziali per proteggere sistemi operativi, cloud e reti da minacce reali. Microsoft ha corretto 59 vulnerabilità, tra cui sei zero-day già sfruttate, mentre SAP e Intel hanno affrontato bug critici ad alto rischio. La raccomandazione unanime è verificare e applicare immediatamente gli aggiornamenti disponibili per Windows, Office, browser e servizi cloud.

In un panorama digitale sempre più minacciato, questi rilasci coordinati rappresentano un'opportunità concreta per rafforzare la sicurezza senza interruzioni operative. Sia per gli utenti domestici che per gli amministratori IT, l'azione indicata come prioritaria è installare le patch per evitare exploit noti come escalation di privilegi, esecuzione remota di codice e denial-of-service. Con vulnerabilità attive in the wild, il ritardo nell'applicazione delle correzioni può esporre dati sensibili e infrastrutture critiche.

Definizione e impatto delle vulnerabilità zero-day

⬆ Torna su

Per vulnerabilità zero-day si intende qualsiasi vulnerabilità presente in un software che non è nota ai suoi sviluppatori o, nel caso sia conosciuta, non viene gestita. Questa tipologia di vulnerabilità ha ricadute significative sulla sicurezza informatica: qualsiasi malintenzionato a conoscenza delle debolezze può sfruttare queste aperture per portare attacchi a buon fine.

Esiste un mercato in cui vengono vendute le specifiche delle vulnerabilità zero-day e i codici malware associati. Questi prodotti hanno un altissimo valore iniziale di vendita che, una volta rese pubbliche, tendono a perdere rapidamente. Nel mercato del dark-web le vulnerabilità zero-day e i malware correlati sono rari da trovare. Secondo alcuni whitepaper accademici, quasi il 70% degli attacchi avvenuti con successo nel 2018 contro endpoint delle organizzazioni aziendali hanno utilizzato exploit di questa tipologia.

Le vulnerabilità zero-day vengono sfruttate in natura prima che il produttore del software abbia l'opportunità di rilasciare una patch o prima che la patch venga ampiamente distribuita. I ritardi associati alla gestione delle patch lasciano una finestra temporale (chiamata "giorno zero") in cui la vulnerabilità può essere sfruttata nelle organizzazioni che non hanno accesso alle difese adeguate.

Il malware zero-day e le strategie difensive tradizionali

⬆ Torna su

Il malware zero-day sfrutta vulnerabilità sconosciute e non protette. Questo tipo di malware risulta difficile da rilevare e da difendere, rendendo gli attacchi zero-day una minaccia significativa per la cybersecurity aziendale. Spesso gli sviluppatori di exploit possono creare attacchi contro le vulnerabilità più rapidamente di quanto possano essere sviluppate e distribuite le relative patch, con conseguente diffusione del malware prima che le organizzazioni possano bloccare la minaccia.

Un esempio documentato riguarda le vulnerabilità in Microsoft Exchange corrette nel marzo 2021. Queste vulnerabilità potevano essere sfruttate per consentire l'esecuzione di codice maligno sui sistemi vulnerabili (vulnerabilità RCE). Una variante di malware zero-day identificata come Hafnium utilizzava gli exploit di Microsoft Exchange per ottenere l'accesso ai server vulnerabili, elevare i privilegi e rubare e-mail e credenziali degli utenti.

Le strategie di cybersecurity tradizionali basate sul rilevamento non sono efficaci contro il malware zero-day. La difficoltà risiede nell'individuare con precisione una minaccia di cui non si conosce l'esistenza. Metodi come le firme antivirus e i sistemi IPS basati su firme note risultano inefficaci. Un approccio più efficace è quello della prevenzione, che include funzioni di protezione proattiva contro minacce sconosciute.

Le vulnerabilità corrette da Microsoft nel Patch Tuesday di febbraio 2026

⬆ Torna su

Microsoft ha classificato molte falle come critiche o importanti, con 25 casi di escalation di privilegi, 12 di esecuzione codice remoto, 7 di spoofing, 6 di divulgazione informazioni, 5 di bypass protezioni e 3 di denial-of-service. Le Snort rules (2 e 3) rilevano exploit attivi. Le raccomandazioni tecniche indicano di applicare le patch entro 1-2 settimane per le vulnerabilità classificate come "exploitation likely", monitorando NTLM, Win32K, kernel e Hyper-V.

Le vulnerabilità zero-day corrette hanno impatto diretto su endpoint, cloud ibridi e reti aziendali. I bug spaziano da zero-day (noti solo agli attaccanti prima delle patch) a problemi critici con punteggi CVSS elevati. L'impatto potenziale riguarda i personal computer, le server enterprise e applicazioni cloud come Azure e SAP S/4HANA. Per gli utenti privati, i rischi includono il controllo del PC tramite file malevoli; per le imprese, possibili compromissioni di database interi.

Aggiornamenti Windows 10 e PowerShell: il caso KB5071546

⬆ Torna su

Microsoft ha distribuito l'aggiornamento KB5071546 per Windows 10, portando la versione del sistema operativo a 19045.6691. L'update corregge 57 falle di sicurezza, inclusi tre zero-day, con particolare attenzione a una vulnerabilità di PowerShell già sfruttata. L'installazione avviene automaticamente sui sistemi idonei e richiede un riavvio del dispositivo per completare l'operazione.

Dopo l'applicazione della patch, Windows 10 raggiunge la build 19045.6691, mentre le installazioni di Windows 10 Enterprise LTSC 2021 vengono portate alla versione 19044.6691. L'aggiornamento segue la tabella di marcia del Patch Tuesday di dicembre 2025. La principale novità riguarda PowerShell 5.1, che implementa un meccanismo di protezione contro l'esecuzione di script dannosi: quando viene utilizzato il comando Invoke-WebRequest per recuperare contenuti da pagine web, il sistema mostra un avviso di sicurezza che informa l'utente del potenziale rischio di esecuzione di codice script incorporato nella pagina.

L'aggiornamento KB5071546 risolve tre vulnerabilità zero-day particolarmente critiche, due delle quali erano già state rese pubbliche prima della disponibilità della correzione ufficiale. Il totale delle vulnerabilità corrette include 28 di elevazione dei privilegi, 19 di esecuzione remota del codice, 4 di divulgazione delle informazioni, 3 di negazione del servizio e 2 di spoofing. Il conteggio esclude le 15 falle corrette per Microsoft Edge.

Casi storici: Outlook e SmartScreen

⬆ Torna su

Nel Patch Tuesday di marzo 2023, Microsoft ha corretto oltre 80 vulnerabilità: 8 critiche, 71 di gravità importante e 1 di gravità moderata. Due zero-day hanno richiesto particolare attenzione. La CVE-2023-23397 su Microsoft Outlook consentiva ai malintenzionati di sfruttare le vulnerabilità del software di posta per rubare da remoto gli hash delle password, semplicemente inviando un'e-mail malevola appositamente creata. La gravità risiede nel fatto che l'attacco si innesca automaticamente prima che la mail venga letta nel riquadro di anteprima del client di posta Outlook.

La seconda vulnerabilità critica, tracciata come CVE-2023-24880, riguardava il componente Windows SmartScreen, strumento cloud-based utilizzato per proteggere i sistemi Windows bloccando applicazioni, file e siti potenzialmente dannosi. Se sfruttata, questa vulnerabilità permetteva di bypassare le funzioni di sicurezza utilizzando file appositi per eludere le difese MOTW (Mark of the Web), comportando una perdita limitata dell'integrità e della disponibilità di funzioni di sicurezza di Windows.

Il Patch Tuesday di settembre 2025: 81 vulnerabilità corrette

⬆ Torna su

Nel Patch Tuesday di settembre 2025, Microsoft ha distribuito 81 correzioni di sicurezza, tra cui due vulnerabilità zero-day già sfruttate attivamente in Word e Windows CLFS. La raccomandazione è stata di applicare le patch con priorità massima per ridurre i rischi di attacchi mirati. Le esclusioni e i premi assicurativi in rialzo correlati all'effetto NIS2 e Cyber Resilience Act sulle polizze cyber hanno evidenziato l'importanza della gestione proattiva delle vulnerabilità.

I fornitori coinvolti nel Patch Tuesday di febbraio 2026

⬆ Torna su

Oltre a Microsoft, decine di fornitori hanno rilasciato patch. L'elenco completo include AutomationDirect, Broadcom/VMware, Canon, Check Point, Commvault, D-Link, Dassault, dormakaba, Drupal, F5, Foxit, Fujitsu, Gigabyte, GitLab, Grafana, Hikvision, Hitachi, Ivanti, MediaTek, Mitsubishi, MongoDB, Moxa, n8n, Phoenix Contact, QNAP, Ricoh, Rockwell, Schneider, ServiceNow, SolarWinds, Splunk, Spring Framework, Supermicro, Synology, TP-Link, WatchGuard, Zoho, Zoom e Zyxel. Le tendenze osservate indicano un aumento delle zero-day (6 rispetto alle medie passate), con focus su cloud e ARM.

Adobe ha aggiornato tool creativi come Audition e After Effects, mentre SAP ha affrontato iniezioni SQL e mancati controlli di autorizzazione. Intel e Google hanno identificato cinque CVE (tra cui CVE-2025-32007 e CVE-2025-27940) e circa 36 debolezze in TDX 1.5, che avvicina il confidential computing alla virtualizzazione tradizionale aumentando però la complessità TCB. I fix migliorano l'isolamento dei domini fidati.

Certificati Secure Boot e fine supporto Windows 10

⬆ Torna su

In ambienti Windows 10 LTSC o ibridi, il rischio risulta alto per il fine supporto. KB5075912 sostituisce i certificati Secure Boot 2011 con scadenza giugno 2026. Per le imprese, le raccomandazioni includono il monitoraggio degli exploit tramite threat intelligence e l'uso di EDR per il rilevamento. Le concatenazioni di vulnerabilità (bypass + escalation privilegi + RCE) amplificano i danni potenziali. Per Linux (AlmaLinux, Ubuntu), è necessario allineare i repository alle patch disponibili.

Identificazione e gestione delle zero-day in Microsoft Defender

⬆ Torna su

Nella gestione delle vulnerabilità di Microsoft Defender, le vulnerabilità zero-day vengono identificate con tag specifici. Nella pagina Panoramica della gestione dell'esposizione, è possibile cercare le raccomandazioni con un tag Zero day nella scheda Raccomandazioni di sicurezza principali. Il software principale con il tag Zero day appare nella scheda software più vulnerabile.

Se alla vulnerabilità è assegnato un ID CVE, l'etichetta Zero day viene visualizzata accanto al nome CVE. Se non è assegnato alcun ID CVE, l'etichetta Zero day è visibile con un nome temporaneo interno simile a "TVM-XXXX-XXXX". Il nome viene aggiornato dopo l'assegnazione di un ID CVE ufficiale. Quando viene rilasciata una patch per il giorno zero, la raccomandazione cambia in Aggiornamento e il tag zero-day viene rimosso da tutte le pagine.

Strategie di mitigazione e raccomandazioni operative

⬆ Torna su

Le soluzioni pratiche suggerite includono l'uso di Windows Update, gestori di patch enterprise o script automatizzati. Le priorità riguardano le zero-day: monitorare i log per tentativi di exploit e bloccare file sospetti in Office o Remote Desktop. Le patch riducono la superficie di attacco del 90%+ se applicate tempestivamente. Per gli esperti, l'integrazione con SBOM, zero-trust e automazione patch (es. Ansible, WSUS) rappresenta lo standard consigliato.

Le correzioni non solo tappano buchi immediati, ma rafforzano architetture future, come i nuovi certificati Secure Boot per Windows 10 in scadenza. L'urgenza deriva dal fatto che molte falle sono già "in the wild", con exploit pubblici in repository malware. Rimangono vigili: nuove CVE emergono post-Patch Tuesday. La raccomandazione finale è installare l'aggiornamento messo a disposizione da Microsoft per ottenere automaticamente tutte le protezioni necessarie, mantenendo il dispositivo aggiornato con funzionalità e miglioramenti di sicurezza più recenti.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione coordinata di vulnerabilità zero-day già sfruttate evidenzia una finestra temporale critica per le organizzazioni che non hanno ancora applicato le patch. La concentrazione di falle in Windows, PowerShell e servizi cloud suggerisce rischi differenziati per utenti domestici e infrastrutture enterprise.

  • Scenario 1: Le organizzazioni con ritardi nell'applicazione delle patch potrebbero subire escalation di privilegi o esecuzione remota di codice tramite le sei zero-day già attive.
  • Scenario 2: Il nuovo meccanismo di protezione di PowerShell potrebbe ridurre gli attacchi basati su script dannosi, con efficacia variabile secondo la velocità di adozione dell'aggiornamento KB5071546.
  • Scenario 3: La coordinazione tra oltre 60 fornitori potrebbe stabilire un modello più strutturato per risposte future a minacce diffuse.

Cosa monitorare

⬆ Torna su
  • Tempi medi di adozione delle patch nei sistemi enterprise rispetto alla finestra di 1-2 settimane indicata come raccomandazione.
  • Eventuali varianti di malware che tentano di aggirare le correzioni rilasciate per Windows e servizi cloud.
  • L'evoluzione del mercato delle vulnerabilità zero-day dopo la correzione di falle precedentemente non note.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • zero
  • cybersecurity
  • microsoft
  • cve

Link utili

Apri l'articolo su DeafNews