/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/02/patch-tuesday-microsoft-exploit-zero-day-sfruttati.jpg "Microsoft Patch Tuesday febbraio 2026: 6 zero-day già sfruttati mettono a rischio Windows, Office e RDP")
Il Patch Tuesday Microsoft di febbraio 2026 non è rilevante soltanto per il numero complessivo di vulnerabilità corrette, ma soprattutto per la presenza di 6 zero-day già sfruttate in attacchi reali prima della distribuzione delle patch. Si tratta di falle appartenenti a categorie diverse — bypass dei controlli di sicurezza, escalation di privilegi e spoofing — accomunate da un fattore critico: consentono di costruire catene di exploit realistiche, modulari e difficili da rilevare.
Le 6 vulnerabilità attivamente sfruttate identificate riguardano principalmente Windows Shell, MSHTML/Internet Explorer legacy, Microsoft Word/Office, componenti di sistema come Desktop Window Manager e servizi correlati.
L’analisi tecnica delle problematiche di sicurezza rinvenute questo mese nei software Microsoft rivela schemi offensivi ricorrenti: sfruttamento iniziale tramite social engineering, bypass dei controlli di sicurezza integrati, quindi escalation di privilegi fino al livello SYSTEM per consolidare la compromissione dei sistemi.
CVE-2026-21510 – Windows Shell Security Feature Bypass
Questa vulnerabilità riguarda Windows Shell e consente di aggirare i meccanismi di sicurezza integrati, in particolare SmartScreen e gli avvisi di sicurezza per file scaricati da fonti non attendibili. Il difetto è riconducibile a una validazione incompleta dei metadati associati a file di collegamento (.lnk) o URL, che permette di indurre il sistema a considerare attendibile un contenuto malevolo.
Dal punto di vista tecnico, l’exploit sfrutta la logica decisionale che determina quando mostrare un avviso di sicurezza: manipolando specifici attributi del file o della destinazione, l’attaccante può bypassare il controllo di reputazione e avviare l’esecuzione del payload con una semplice interazione da parte dell’utente.
Sono esposti tutti i sistemi Windows supportati inclusi Windows 10, Windows 11, Windows Server 2016, 2019 e 2022.
L’impatto è particolarmente rilevante su endpoint aziendali, dove i file .lnk e i collegamenti Web sono spesso utilizzati come vettori iniziali in campagne di phishing mirato.
CVE-2026-21513 – MSHTML Security Feature Bypass
Si tratta di una vulnerabilità colpisce MSHTML, il motore di rendering HTML legacy ancora utilizzato da numerosi componenti di Windows e da applicazioni Office. Il bug consente di bypassare i controlli di sicurezza che regolano il caricamento di contenuti HTML e script attivi quando elaborati in locale o tramite documenti Office.
L’exploit si basa su un’inadeguata separazione dei contesti di sicurezza tra contenuti locali e remoti. Un file HTML o un documento Office contenente markup controllato dall’attaccante può essere interpretato come trusted content in Windows, permettendo l’esecuzione di script o l’avvio di ulteriori payload.
Risultano vulnerabili tutte le piattaforme Windows che includono MSHTML: Windows 10 e Windows 11 nonché Windows Server 2016, 2019, 2022.
La falla in questione appare particolarmente pericolosa soprattutto negli ambienti aziendali, dove Office e componenti legacy sono ampiamente distribuiti sulle workstation dei dipendenti.
CVE-2026-21514 – Microsoft Word OLE Mitigation Bypass
La vulnerabilità interessa Microsoft Word e il framework OLE (Object Linking and Embedding), utilizzato per incorporare oggetti e controlli COM all’interno dei documenti. Il difetto consente di bypassare le mitigazioni che impediscono il caricamento di controlli OLE non attendibili o vulnerabili.
Tecnicamente, il problema deriva da una validazione insufficiente nella fase di inizializzazione degli oggetti embedded: Word può caricare controlli COM pericolosi senza applicare correttamente le restrizioni di sicurezza, consentendo l’esecuzione indiretta di codice malevolo tramite documenti appositamente costruiti.
Sono esposti i sistemi con versioni vulnerabili di Microsoft Office: Office 2016, Office 2019, Office LTSC, Microsoft 365 Apps for Enterprise.
La vulnerabilità è trasversale ai sistemi operativi Windows che eseguono tali versioni di Office, rendendo il rischio elevato sulle workstation aziendali.
CVE-2026-21519 – Desktop Window Manager Elevation of Privilege
In questo caso abbiamo a che fare con una vulnerabilità di escalation di privilegi nel Desktop Window Manager (DWM), componente responsabile della composizione grafica dell’interfaccia Windows. Il bug consente a un attaccante locale di elevare i privilegi fino al livello SYSTEM.
La vulnerabilità è legata a un problema di gestione dei tipi (type confusion) e all’accesso improprio a oggetti interni del sistema. Un processo con privilegi limitati può sfruttare il difetto per manipolare handle o strutture di memoria associate al DWM, ottenendo l’esecuzione con privilegi massimi.
Sono coinvolti tutti i sistemi Windows moderni che utilizzano DWM: Windows 10, Windows 11, Windows Server con interfaccia grafica (Desktop Experience)
Il bug è particolarmente critico nei contesti post-exploitation, poiché consente di trasformare un accesso limitato in una compromissione completa del sistema.
CVE-2026-21525 – Windows Remote Access Connection Manager Denial of Service
Una vulnerabilità che presenta una dinamica diversa rispetto alle precedenti. Il bug consiste in una dereferenziazione di puntatore nullo all’interno del servizio Remote Access Connection Manager, che può essere sfruttata localmente per causare un Denial of Service (DoS).
Un elemento significativo è che l’exploit è stato individuato da ACROS Security (azienda che sviluppa il software 0patch per l’applicazione di patch di sicurezza efficaci anche su sistemi non più supportati da Microsoft) all’interno di un repository pubblico di malware già nel dicembre 2025. Ciò indica che il codice di exploit esisteva prima della patch ufficiale ed era probabilmente integrato in toolkit malevoli più ampi.
Dal punto di vista tecnico, la dereferenziazione di un puntatore nullo può essere sfruttata per mandare in crash il servizio responsabile della gestione delle connessioni remote, incluse VPN e dial-up legacy. Sebbene classificato come DoS, in contesti offensivi avanzati un crash controllato di servizi critici può facilitare ulteriori exploit o interferire con meccanismi di difesa e monitoraggio.
La superficie di esposizione riguarda i sistemi Windows che utilizzano il servizio Remote Access Connection Manager: Windows 10 e Windows 11, Windows Server 2016, 2019 e 2022, sistemi con funzionalità VPN o accesso remoto configurate.
CVE-2026-21533 – Windows Remote Desktop Services Elevation of Privilege
È la vulnerabilità di febbraio 2026 per cui esistono i dettagli tecnici più concreti sull’utilizzo reale. CrowdStrike ha osservato un exploit funzionante che modifica una chiave di configurazione di servizio, sostituendola con un valore controllato dall’attaccante. Il risultato è l’elevazione dei privilegi con la possibilità di aggiungere un nuovo utente al gruppo Administrators.
Il problema deriva da una gestione impropria dei privilegi nel servizio di Desktop remoto. L’exploit manipola configurazioni interne del servizio per eseguire codice con privilegi elevati, sfruttando meccanismi legittimi di gestione dei servizi Windows anziché tecniche di memory corruption più rumorose.
La tecnica è particolarmente efficace perché crea persistenza immediata ed è difficilmente rilevabile: l’attaccante ottiene un account amministrativo valido che può essere utilizzato per accessi RDP successivi senza necessità di ulteriori exploit.
La vulnerabilità colpisce i sistemi che includono il servizio RDP: Windows 10 e Windows 11 con funzionalità RDP abilitate, Windows Server 2016, 2019 e 2022, server terminali e infrastrutture RDS, ambienti enterprise con accesso amministrativo remoto via RDP
L’impatto è particolarmente critico nei server esposti internamente o in ambienti di gestione centralizzata, dove l’aggiunta di un account amministrativo può consentire movimento laterale e compromissione dell’intera infrastruttura.
Note finali e considerazioni conclusive
Le 6 falle zero-day analizzate delineano con chiarezza la direzione evolutiva delle moderne campagne di attacco contro l’ecosistema Windows: non tanto exploit monolitici di esecuzione remota immediata, quanto catene modulari che combinano social engineering, bypass dei controlli di sicurezza e successiva escalation di privilegi. In questo modello operativo, le vulnerabilità non agiscono in modo isolato ma diventano primitive offensive riutilizzabili all’interno di framework di attacco.
Un elemento centrale emerso dall’analisi è l’eterogeneità funzionale delle falle corrette: Windows Shell e MSHTML consentono l’aggiramento delle protezioni iniziali e l’esecuzione di payload controllati; le vulnerabilità in Office permettono di distribuire documenti malevoli con elevata credibilità; le escalation di privilegi in Desktop Window Manager e Remote Desktop Services forniscono il passaggio decisivo verso il controllo completo del sistema; infine, il bug nel Remote Access Connection Manager introduce una leva di sabotaggio dei servizi di accesso remoto che può agevolare fasi successive dell’intrusione. Insieme, queste debolezze compongono una catena che rispecchia le tattiche osservate nelle intrusioni avanzate.
/https://www.ilsoftware.it/app/uploads/2026/02/permessi-applicazioni-windows-11.jpg "Windows 11: arriva la gestione dei permessi ispirata ad Android")
/https://www.ilsoftware.it/app/uploads/2026/02/eagle-software-windows-su-linux.jpg "Nuova era per Wine: con Eagle i programmi Windows si configurano da soli su Linux")
/https://www.ilsoftware.it/app/uploads/2026/02/windows-11-26H1-ARM-2026.jpg "Windows 11 26H1 è ufficiale: cosa cambia davvero rispetto a Windows 11 ARM")
/https://www.ilsoftware.it/app/uploads/2026/02/vulnerabilita-blocco-note-windows-11-esecuzione-codice-remoto.jpg "Blocco Note di Windows 11 vulnerabile: esecuzione di codice remoto con un clic su un file di testo!")