Patch Tuesday record: Microsoft chiude 200 falle di sicurezza e 3 zero-day già noti

Il Patch Tuesday di giugno 2026 impone una priorità chiara: aggiornare rapidamente Windows, Office e i componenti server esposti. Microsoft ha corretto circa 200 vulnerabilità, con decine di falle critiche e 3 zero-day già pubblici, anche se al momento non risultano sfruttati in attacchi reali.

Il programma Patch Tuesday di Microsoft esiste dal 2003 e ha trasformato la gestione delle vulnerabilità nei prodotti dell’azienda di Redmond in un appuntamento fisso per amministratori, SOC (Security Operations Center) e team IT. La prevedibilità aiuta, ma non elimina il problema: quando un rilascio mensile concentra così tante correzioni, la vera difficoltà diventa capire dove intervenire prima.

I numeri spiegano bene la portata del rilascio. Nel conteggio Microsoft e nelle analisi pubbliche compaiono tra 198 e 204 vulnerabilità, a seconda che si includano o meno componenti cloud già corretti, Edge/Chromium e servizi gestiti. Il dato più prudente per chi amministra sistemi locali resta quello delle 200 falle coperte, con 33 vulnerabilità classificate come critiche: 28 di tipo remote code execution, 4 di escalation dei privilegi e una di disclosure informativa.

Tre zero-day pubblici, ma nessun abuso confermato

Le 3 vulnerabilità già note prima del rilascio meritano attenzione, anche senza evidenze di sfruttamento attivo. Una falla già resa pubblica riduce il tempo utile per difendersi: ricercatori, criminali e operatori offensivi possono confrontare i componenti aggiornati con quelli vecchi per ricostruire il difetto e trarne vantaggio.

Escalation di privilegi locale a livello di CTFMON

La prima è CVE-2026-45586, una vulnerabilità di escalation locale in Windows Collaborative Translation Framework, componente associato a CTFMON (gestisce i servizi di input di testo avanzati come il riconoscimento vocale, la scrittura a mano, la tastiera a schermo e il supporto per le lingue orientali).

Microsoft descrive il problema come una gestione non corretta della risoluzione dei link prima dell’accesso ai file. In pratica, un attaccante già autorizzato sul sistema può abusare del meccanismo di “link following” per ottenere privilegi SYSTEM.

Secondo le ricostruzioni pubbliche, CVE-2026-45586 corrisponde alla falla nota come GreenPlasma, diffusa dal ricercatore Nightmare Eclipse con cui Microsoft è davvero “ai ferri corti”.

Correzione per un attacco DoS ai server web

La seconda falla pubblica è CVE-2026-49160, un DoS (Denial of Service) in HTTP.sys, componente di sistema collegato alla gestione di HTTP/2. I ricercatori l’hanno descritta come HTTP/2 Bomb: ne abbiamo parlato nei giorni scorsi. L’attacco sfrutta la compressione degli header e la gestione del traffico per far allocare al server molta più memoria rispetto ai dati effettivamente inviati. In assenza della patch, basta un solo client remoto per far collassare un server web come NGINX, Apache, IIS e così via.

HTTP/2 usa HPACK per comprimere gli header: se un’implementazione gestisce male le combinazioni di intestazioni, tabelle dinamiche e controllo di flusso, una richiesta piccola può generare consumo anomalo di risorse. Microsoft ha introdotto la chiave di registro MaxHeadersCount, utile per limitare il numero di header accettati nelle richieste HTTP/2 e HTTP/3. Non sostituisce la patch, ma riduce la superficie di rischio mentre si completa la distribuzione dell’aggiornamento correttivo.

Finalmente la correzione per l’accesso non autorizzato alle unità crittografate con BitLocker

La terza vulnerabilità è CVE-2026-50507, un bypass di BitLocker con accesso fisico. L’intervento coincide con la correzione della nota falla YellowKey, anch’essa scoperta da Nightmare Eclipse: un attaccante poteva avviare Windows Recovery Environment (WinRE, l’ambiente di ripristino integrato in Windows) e ottenere una shell con accesso all’unità BitLocker.

Va detto però che il rischio non riguarda tutti allo stesso modo. I sistemi più esposti sono quelli configurati con protezione TPM-only, senza PIN BitLocker pre-boot, soprattutto su Windows 11 e Windows Server 2022/2025. Per notebook aziendali, postazioni amministrative e dispositivi che possono uscire dal perimetro fisico controllato, la mitigazione più solida resta l’uso di TPM+PIN.

HTTP.sys è la priorità per i server esposti

Oltre all’attacco DoS di cui abbiamo parlato in precedenza, il rilascio di questo mese include CVE-2026-47291, una vulnerabilità critica di esecuzione remota del codice sempre in HTTP.sys.

Il difetto riguarda un integer overflow attivabile con una richiesta sovradimensionata: Microsoft indica l’utilizzo della policy MaxRequestBytes come mitigazione temporanea per limitare la dimensione delle richieste prima dell’installazione della patch.

Chi espone IIS, servizi Windows basati su HTTP.sys o applicazioni che usano direttamente lo stack HTTP del sistema operativo dovrebbe trattare queste due vulnerabilità come priorità operative. Non basta guardare il server web “visibile”: HTTP.sys può servire anche componenti amministrativi, API interne, servizi di management e workload non immediatamente associati a IIS.

Sistemi Windows Server esposti su Internet, reverse proxy che inoltrano traffico HTTP/2, bilanciatori che non normalizzano gli header, ambienti con HTTP/3 abilitato e server usati per applicazioni legacy. Dove la patch non può arrivare subito, ha senso applicare limiti più conservativi su header e dimensione richiesta, monitorando errori 4xx/5xx e consumo della memoria.

Active Directory, Kerberos e DHCP: meno visibili, ma sensibili

Tra le vulnerabilità critiche compare CVE-2026-45648 in Active Directory Domain Services, legata a uno stack-based buffer overflow.

Microsoft segnala la necessità di autenticazione e considera improbabile lo sviluppo di exploit affidabili, ma un difetto scoperto in Active Directory Domain Services non va mai liquidato con leggerezza.

Un dominio Windows resta un obiettivo ad alto valore: anche una vulnerabilità sfruttabile solo da utenti autenticati può interessare reti dove, ad esempio, fosse malauguratamente presente un account compromesso.

Lo stesso ragionamento vale per CVE-2026-47288 in Kerberos KDC e per CVE-2026-44815 nel servizio DHCP Client, entrambe classificate critiche. La catena tipica di un attacco moderno non cerca sempre il “colpo singolo”: spesso combina credenziali rubate, movimento laterale e vulnerabilità locali o semi-remote.

Office, Outlook, Word ed Excel restano vettori di attacco di grande interesse

Il “blocco Office” pesa molto nel Patch Tuesday di giugno 2026: le falle critiche interessano Office, Outlook e Word, con diverse vulnerabilità di esecuzione remota del codice. Anche Excel riceve più correzioni per RCE e information disclosure.

Qui l’impatto dipende dall’esposizione dell’utente finale: un documento ricevuto via mail, scaricato da Teams o aperto da una condivisione può diventare il punto di ingresso; le protezioni come Mark of the Web, Protected View, Application Guard dove disponibile e blocco delle macro da Internet riducono il rischio, ma non autorizzano a rimandare gli aggiornamenti.

Il dato interessante è la persistenza di vulnerabilità delle suite Office come superficie d’attacco. Malgrado anni di hardening, sandboxing e controlli reputazionali, Word, Outlook ed Excel continuano a rappresentare un ottimo appiglio dal punto di vista degli aggressori.

Desktop remoto e Hyper-V: attenzione agli ambienti ibridi

Il client Desktop remoto riceve numerose correzioni, molte critiche. Una vulnerabilità nel client può diventare pericolosa quando un utente si collega a un server controllato dall’attaccante o a un endpoint compromesso. Le organizzazioni che usano RDP per amministrazione, help desk o accesso a sistemi amministrati a distanza dovrebbero aggiornare anche le workstation degli amministratori, non solo i server.

Per quanto riguarda le falle corrette in Hyper-V, le patch corrispondenti dovrebbero essere installate prima possibile in tutti quegli ambienti in cui si fa uso dell’hypervisor Microsoft per la gestione di macchine virtuali. Le falle in questione potrebbero infatti essere sfruttate per causare danni sul sistema host e attivare movimenti laterali.

BitLocker e Secure Boot mostrano il lato fisico della sicurezza

Le patch Microsoft rilasciate a giugno correggono 3 bypass BitLocker e numerose vulnerabilità relative a Secure Boot/UEFI.

Non tutte hanno lo stesso peso, ma insieme raccontano una tendenza precisa: la catena di avvio resta un aspetto molto delicato, soprattutto quando l’attaccante può avere accesso fisico alla macchina della vittima.

Per i portatili aziendali, affidarsi al solo TPM significa puntare molto sulla presunzione che nessuno possa manipolare il processo di boot. Il PIN pre-boot, come già osservavamo in precedenza e in altri nostri articoli, rende l’attacco più difficile perché aggiunge un segreto che non risiede automaticamente nella macchina.

Una release pesante, ma utile per leggere le tendenze

Il Patch Tuesday di giugno 2026 non colpisce solo per il numero di CVE (Common Vulnerabilities and Exposures) ma impressiona soprattutto per la varietà di componenti software destinatari di interventi correttivi: HTTP/2, Active Directory, Kerberos, DHCP, Office, Hyper-V, RDP, BitLocker, Secure Boot, Visual Studio Code, SharePoint ed Exchange. È una fotografia piuttosto fedele della complessità di Windows e della necessità, in particolare dal punto di vista di sistemisti e amministratori IT, di soppesare con la massima attenzione i rischi e la superficie d’attacco che i sistemi espongono.

La gestione corretta passa da un approccio molto concreto: inventario aggiornato, test rapido, distribuzione graduale ma veloce, monitoraggio degli errori applicativi e verifica post-patch. In un mese con 200 correzioni, l’obiettivo non è inseguire ogni CVE con lo stesso livello di urgenza; è ridurre subito l’esposizione e chiedersi dove un eventuale exploit avrebbe l’impatto maggiore.