Patch Tuesday gennaio 2026: Microsoft corregge una pericolosa vulnerabilità Windows già sfruttata

Il primo Patch Tuesday Microsoft del 2026 ha già assunto contorni tutt’altro che rassicuranti. L’azienda di Redmond ha confermato l’esistenza di una vulnerabilità in Windows (precedentemente zero-day) che risulta già attivamente sfruttata, al punto da spingere anche il governo statunitense a intervenire con un avviso formale. Il bug in questione, identificato come CVE-2026-20805, non colpisce per un punteggio CVSS particolarmente elevato, ma per il ruolo che può assumere all’interno di catene di exploit più complesse e articolate.

Individuata dal team di threat intelligence Microsoft, la falla riguarda un meccanismo interno del sistema operativo Windows: la gestione delle comunicazioni tramite porte ALPC (Advanced Local Procedure Call). In condizioni specifiche, un attaccante già autorizzato è in grado di accedere al contenuto degli indirizzi di memoria da una porta ALPC remota. A prima vista può sembrare un dettaglio tecnico marginale, ma nel contesto della sicurezza moderna è tutt’altro che irrilevante.

Cos’è una porta ALPC remota in Windows

Una porta ALPC remota è un concetto avanzato legato al meccanismo Advanced Local Procedure Call di Windows, utilizzato per la comunicazione inter-processo (IPC) ad alte prestazioni tra componenti del sistema operativo e applicazioni in user-mode o in kernel-mode.

ALPC è l’evoluzione del vecchio meccanismo LPC (Local Procedure Call) e rappresenta oggi uno dei principali canali di comunicazione interna di Windows. È utilizzato, ad esempio, da servizi di sistema, componenti di sicurezza, sottosistemi come CSRSS, RPC, COM, sandbox e sistema di gestione dei privilegi utente.

Perché una perdita di indirizzi di memoria è così pericolosa

Come sottolineato dagli analisti della Zero Day Initiative, la rivelazione del contenuto degli indirizzi di memoria rappresenta spesso il primo tassello di un exploit a più stadi. Conoscere dove risiedono porzioni di codice o strutture critiche consente di aggirare il sistema di protezione ASLR (Address Space Layout Randomization), una delle principali difese del sistema operativo contro buffer overflow e attacchi di corruzione della memoria.

In pratica, una vulnerabilità come CVE-2026-20805 può trasformare un exploit teoricamente instabile in un attacco ripetibile e affidabile, soprattutto se combinata con un secondo bug che consenta l’esecuzione di codice arbitrario. È proprio questa capacità di “abilitare” altre vulnerabilità che rende il problema più grave di quanto suggerisca il punteggio CVSS 5,5 assegnato da Microsoft.

CVE-2026-20805 da sola non consente l’esecuzione di codice. Il suo valore per un attaccante sta nel fatto che rompe una protezione fondamentale di Windows, preparando il terreno a uno stadio successivo dell’attacco.

L’intervento dell’Agenzia federale USA e l’urgenza della patch

La conferma della reale sfruttabilità non arriva solo da Redmond. La Cybersecurity and Infrastructure Security Agency (CISA), agenzia federale statunitense responsabile della sicurezza informatica e delle infrastrutture su suolo statunitense, ha inserito la falla CVE-2026-20805 nel proprio Known Exploited Vulnerabilities Catalog, obbligando gli altri enti pubblici USA ad applicare la patch entro il 3 febbraio 2026. Si tratta di un segnale chiaro: il rischio non è teorico, ma concreto e già operativo.

Secondo le autorità d’Oltreoceano, vulnerabilità di questo tipo costituiscono un vettore d’attacco ricorrente per attori malevoli, con potenziali impatti significativi sull’intero ecosistema federale.

Microsoft, tuttavia, ha scelto di non divulgare ulteriori dettagli sugli exploit osservati né sugli altri componenti eventualmente coinvolti nella catena d’attacco, una decisione che ha suscitato critiche nella comunità della sicurezza per via del fatto che una correzione è già disponibile ed è distribuita con gli aggiornamenti cumulativi per Windows di gennaio 2026. Per Windows 10, ad esempio, il pacchetto si chiama KB5073724.