Scopri anche

• Malware e minacce digitali: l'evoluzione delle tecniche di attacco e le strategie di difesa
• Microsoft Patch Tuesday aprile 2026: corrette 167 vulnerabilità con due zero-day
• Anthropic blocca il rilascio di Claude Mythos: il modello AI che trova vulnerabilità zero-day
• Microsoft Patch Tuesday aprile 2026: 167 vulnerabilità corrette, due zero-day
• Mythos e il Progetto Glasswing: quando l'IA trova falle ignorate da 27 anni
• BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office
• Mythos, il modello AI che trova vulnerabilità zero-day: Anthropic sceglie di non rilasciarlo
• CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS
• Microsoft ridimensiona Copilot in Windows 11: funzioni AI eliminate e maggiore controllo per gli utenti
• Samsung Galaxy: patch di sicurezza aprile 2026 e beta One UI 8.5 per pieghevoli e serie S
• Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel
• Microsoft rilascia aggiornamento di emergenza per Windows 11 e delinea piano di miglioramenti per il 2026
• La settimana che ha cambiato la sicurezza informatica: Claude Code, il leak e l'exploit FreeBSD
• Funzionalità nascoste e avanzate della console Xbox: guida completa alle opzioni meno note
• Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword
• Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
• Xbox Game Pass Aprile 2026: il lineup completo tra day-one e titoli confermati
• BD-UN-JB-Poops-Autoloader 1.01: aggiornamento SDK e supporto firmware fino a 12.00
• Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
• Microsoft introduce l'intelligenza multi-modello in Researcher e Copilot Cowork

Patch Tuesday aprile 2026: Microsoft corregge due zero-day con exploit attivi su SharePoint e Defender

Patch Tuesday aprile 2026: Microsoft corregge due zero-day con exploit attivi su SharePoint e Defender

Microsoft ha pubblicato il 14 aprile 2026 uno dei pacchetti di aggiornamenti di sicurezza più ampi della sua storia. Il Patch Tuesday di aprile corregge tra le 163 e le 169 vulnerabilità a seconda delle fonti, posizionandosi come il secondo più grande mai rilasciato dall'azienda, superato solo dal ciclo di ottobre 2025 che ne correggeva 183. Otto vulnerabilità sono classificate come critiche, mentre la maggior parte delle altre risulta importante per gravità.

Due di queste vulnerabilità rientrano nella definizione di zero-day nel senso più rigoroso del termine: una era già attivamente sfruttata in attacchi reali prima del rilascio della patch, l'altra era nota pubblicamente con codice exploit disponibile su GitHub. L'agenzia americana CISA ha inserito la CVE-2026-32201 nel catalogo Known Exploited Vulnerabilities, richiedendo alle agenzie federali FCEB di applicare la correzione entro il 28 aprile 2026.

La zero-day SharePoint attivamente sfruttata: CVE-2026-32201

⬆ Torna su

La vulnerabilità che richiede attenzione immediata è identificata come CVE-2026-32201, una falla di spoofing in Microsoft SharePoint Server che colpisce le versioni 2016, 2019 e Subscription Edition. Il punteggio CVSS di 6.5 potrebbe apparire moderato, ma Microsoft ha confermato che al momento del rilascio della patch la vulnerabilità era già sfruttata attivamente in attacchi reali.

La vulnerabilità nasce da una validazione impropria dell'input nel componente Microsoft Office SharePoint, codice CWE-20. Un attaccante non autenticato può sfruttare questo difetto per eseguire attacchi di spoofing attraverso la rete, senza richiedere privilegi speciali né interazione dell'utente. L'impatto riguarda la confidenzialità e l'integrità dei dati: un attaccante può visualizzare informazioni sensibili e apportare modifiche alle informazioni esposte, sebbene non possa limitare l'accesso alla risorsa.

Secondo la documentazione Microsoft, la validazione insufficiente dell'input consente a un attaccante non autorizzato di effettuare spoofing tramite rete. In termini pratici, l'attaccante può manipolare il modo in cui le informazioni vengono presentate agli utenti, inducendoli a fidarsi di contenuti malevoli. Questo apre la strada a campagne di phishing avanzate, manipolazione non autorizzata dei dati e attacchi di social engineering mirati.

SharePoint Server rappresenta uno strumento diffusissimo per la collaborazione aziendale e la gestione documentale. La vulnerabilità può fungere da punto di ingresso iniziale per gruppi ransomware, attori statali e operatori di cyber spionaggio. L'ultima vulnerabilità di spoofing su SharePoint Server sfruttata come zero-day risale al luglio 2025 con CVE-2025-49706, parte della catena di exploit ToolShell utilizzata da gruppi ransomware.

BlueHammer: l'exploit pubblico per Microsoft Defender

⬆ Torna su

La seconda zero-day, CVE-2026-33825, è una vulnerabilità di escalation dei privilegi in Microsoft Defender con punteggio CVSS 7.8. La particolarità di questa CVE risiede nelle circostanze della sua divulgazione: il 2 aprile 2026 un ricercatore di sicurezza con lo pseudonimo "Chaotic Eclipse" ha pubblicato su GitHub il codice exploit, battezzandolo BlueHammer.

La decisione del ricercatore ha evidenziato una profonda frustrazione con il processo di divulgazione responsabile di Microsoft. L'exploit sfrutta una race condition TOCTOU combinata con una path confusion nel meccanismo di aggiornamento delle firme di Defender. L'obiettivo della catena di exploit consiste nel forzare Microsoft Defender a creare un nuovo Volume Shadow Copy, mettere in pausa Defender nel momento preciso, quindi accedere ai file degli hive del registro di sistema dallo snapshot prima che Defender possa ripulire.

Secondo i ricercatori Rahul Ramesh e Reegun Jayapaul di Cyderes, durante determinati flussi di aggiornamento e rimedio di Defender, il software crea uno snapshot temporaneo Volume Shadow Copy. BlueHammer utilizza Cloud Files callbacks e oplock per mettere in pausa Defender nel momento preciso, lasciando lo snapshot montato e gli hive del registro SAM, SYSTEM e SECURITY accessibili, file normalmente bloccati a runtime.

Lo sfruttamento riuscito consente di leggere il database SAM, decifrare gli hash delle password NTLM, assumere il controllo di un account amministratore locale e generare una shell a livello SYSTEM, ripristinando l'hash della password originale per evitare il rilevamento. Il ricercatore Will Dormann ha confermato che l'exploit BlueHammer non funziona più dopo CVE-2026-33825, sebbene alcune parti sospette dell'exploit sembrino ancora funzionare.

Microsoft ha corretto il problema mediante un aggiornamento automatico della piattaforma Defender alla versione 4.18.26050.3011. Defender si aggiorna automaticamente senza richiedere il riavvio del sistema, ma l'exploit è rimasto disponibile pubblicamente per oltre dieci giorni prima dell'arrivo della correzione, un intervallo temporale considerato sufficiente affinché gruppi APT e operatori ransomware sviluppassero proprie varianti.

La vulnerabilità critica nel servizio IKE: CVE-2026-33824

⬆ Torna su

Tra le vulnerabilità corrette nel pacchetto di aprile spicca CVE-2026-33824, che detiene il punteggio CVSS più alto del mese con 9.8 su 10. Si tratta di una vulnerabilità di esecuzione di codice remoto nel servizio Windows Internet Key Exchange (IKE) v2, classificata come critica senza autenticazione richiesta e con bassa complessità di attacco.

Il problema di sicurezza risiede nel servizio Windows IKE v2 e consente a un attaccante di eseguire codice remoto inviando pacchetti appositamente costruiti a qualsiasi sistema Windows con IKE v2 abilitato, senza che l'utente faccia nulla e senza che l'attaccante disponga di alcun privilegio. I sistemi interessati includono Windows Server 2025, 2022, 2019 e 2016, oltre a specifiche versioni desktop di Windows 10 e 11 per architetture x64, 32-bit e ARM.

Adam Barnett di Rapid7 ha spiegato che lo sfruttamento richiede che un attaccante invii pacchetti appositamente costruiti a una macchina Windows con IKE v2 abilitato. Poiché IKE fornisce servizi di negoziazione di tunnel sicuri, ad esempio per VPN, è necessariamente esposto a reti non fidate e raggiungibile in un contesto di pre-autorizzazione.

Le organizzazioni che non possono applicare immediatamente la patch hanno a disposizione due mitigazioni temporanee: bloccare il traffico in entrata sulle porte UDP 500 e 4500 per i sistemi che non usano IKE, oppure configurare regole firewall per consentire traffico sulle stesse porte solo da indirizzi peer noti per chi utilizza IKE.

Il volume eccezionale del Patch Tuesday e il ruolo dell'intelligenza artificiale

⬆ Torna su

Dustin Childs dello Zero Day Initiative ha definito questo Patch Tuesday il secondo più grande della storia di Microsoft. Secondo ZDI, l'aumento delle dimensioni potrebbe riflettere la crescita delle segnalazioni trovate da strumenti AI, con il tasso di arrivo delle vulnerabilità che è essenzialmente triplicato, rendendo il triage una sfida significativa.

Microsoft ha confermato che il volume eccezionale riflette in parte l'aumento delle scoperte da parte di strumenti di ricerca automatizzata basati su intelligenza artificiale. L'azienda ha attribuito una vulnerabilità a un ricercatore di Anthropic che utilizzava Claude, confermando indirettamente la direzione del settore verso l'impiego di AI nella ricerca di vulnerabilità.

Satnam Narang di Tenable ha osservato che a questo ritmo, il 2026 è in traiettoria per confermare che oltre 1.000 CVE annuali nei Patch Tuesday rappresenta la norma. I bug di escalation dei privilegi continuano a dominare il ciclo Patch Tuesday negli ultimi otto mesi, rappresentando il 57% di tutte le CVE corrette ad aprile, mentre le vulnerabilità di esecuzione di codice remoto sono scese al 12%.

Altre vulnerabilità significative corrette

⬆ Torna su

Il pacchetto di aprile include diverse altre vulnerabilità degne di nota. Microsoft ha corretto falle RCE in Microsoft Office, in particolare Word ed Excel, che possono essere eseguite tramite il pannello di anteprima o aprendo documenti dannosi. CVE-2026-32190 può portare all'esecuzione locale del codice, CVE-2026-33114 è una vulnerabilità in Microsoft Word che potrebbe permettere all'attaccante di eseguire codice localmente, e CVE-2026-33115 può anch'essa portare all'esecuzione locale del codice.

Il denominatore comune di queste tre falle è che l'attaccante agisce da remoto ma è necessario eseguire codice su un sistema locale per sfruttare la vulnerabilità. Nessuna di queste falle è ritenuta di facile sfruttamento, ma trattandosi di Office gli esperti raccomandano l'aggiornamento soprattutto per gli utenti che ricevono frequentemente allegati.

Una vulnerabilità classificata come critica con valutazione "Exploitation More Likely" colpisce Active Directory attraverso una validazione impropria dell'input nelle chiamate RPC. Un attaccante autenticato può inviare una chiamata RPC appositamente costruita e ottenere esecuzione di codice con gli stessi permessi del processo RPC host. Una volta sfruttata, questa vulnerabilità può accelerare l'escalation di privilegi e abilitare il takeover completo del dominio.

Lo Zero Day Initiative ha classificato questa vulnerabilità come wormable su sistemi che usano IPv6 con IPsec abilitato, significando che un exploit riuscito potrebbe propagarsi autonomamente da un sistema all'altro senza intervento umano. La race condition alla base del bug rende lo sfruttamento più complesso ma non sufficiente per ritardare l'applicazione delle patch.

Raccomandazioni operative per le organizzazioni

⬆ Torna su

Gli esperti concordano nel raccomandare alle organizzazioni di applicare rapidamente le patch per ridurre l'esposizione e prevenire potenziali compromissioni dalle vulnerabilità attivamente bersagliate. Per SharePoint, è consigliabile verificare l'esposizione delle istanze pubbliche, rafforzare le policy CSP e monitorare i log di autenticazione per login anomali.

Le azioni immediate raccomandate includono: prioritizzare le patch per SharePoint, Defender e browser Chromium; isolare e aggiornare i sistemi esposti; applicare regole firewall per mitigazioni temporanee; e aumentare le attività di logging e detection per identificare attività anomale di sessione e possibili movimenti laterali.

Per le organizzazioni che non hanno ancora adottato un processo di continuous patching con finestre di emergenza definite per le vulnerabilità con sfruttamento attivo, questo Patch Tuesday rappresenta l'occasione per implementarlo. Quando una zero-day con codice exploit già pubblico è coinvolta, il tempo diventa un fattore decisivo per la resilienza informatica.

La capacità delle organizzazioni di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione si configura come elemento determinante in un contesto di attacchi sempre più veloci e mirati. Windows è preconfigurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, scaricandoli automaticamente quando disponibili.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione simultanea di due zero-day con exploit già attivi pone urgenze differenziate per le organizzazioni, tra applicazione immediata di patch e gestione di finestre di esposizione prolungate.

• Scenario 1: SharePoint Server potrebbe diventare un vettore privilegiato per campagne di phishing mirato, sfruttando la possibilità di manipolare come i contenuti vengono presentati agli utenti legittimi.
• Scenario 2: Varianti dell'exploit BlueHammer potrebbero emergere nelle settimane successive, dato che il codice è rimasto accessibile pubblicamente per oltre dieci giorni prima della correzione automatica.
• Scenario 3: Il volume crescente di vulnerabilità individuate tramite strumenti automatizzati potrebbe estendere i tempi di analisi e aumentare la pressione operativa sui team di sicurezza.

Cosa monitorare

⬆ Torna su

• Segnalazioni di attacchi che sfruttano CVE-2026-32201 in ambienti SharePoint non ancora aggiornati.
• Eventuali exploit secondari derivati dal codice BlueHammer su repository pubblici.
• L'efficacia delle mitigazioni temporanee per IKE v2 in contesti con infrastrutture VPN esposte.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://securityaffairs.com/190831/security/microsoft-patch-tuesday-for-april-2026-fixed-actively-exploited-sharepoint-zero-day.html
• https://thehackernews.com/2026/04/microsoft-issues-patches-for-sharepoint.html
• https://www.securityopenlab.it/news/6298/patch-tuesday-di-aprile-microsoft-chiude-167-falle-2-zero-day.html
• https://www.cybersecurity360.it/nuove-minacce/aggiornamenti-microsoft-aprile-2026-corretta-una-zero-day-in-sharepoint-gia-sfruttata/
• https://prothect.it/microsoft/vulnerabilita-zero-day-sharepoint-server-di-microsoft-sfruttata-attivamente/
• https://www.redhotcyber.com/post/vulnerabilita-zero-day-in-microsoft-sharepoint-server-exploit-attivi-prima-della-patch/
• https://www.think.it/aprile-2026-microsoft-rilascia-patch-per-163-cve-e-zeroday-in-sharepoint-e-defender/