Il Patch Tuesday di luglio 2026 entra direttamente nella storia per via del numero di aggiornamenti di sicurezza distribuiti da Microsoft. A seconda del criterio usato per contare le correzioni, le analisi parlano di 570 vulnerabilità oppure di 622 falle nei prodotti Microsoft, alle quali si aggiungono centinaia di problemi ereditati da Chromium e quindi rilevanti anche per Edge. La tornata di aggiornamenti di luglio copre insomma un numero eccezionalmente ampio di prodotti, versioni, librerie e servizi.
Gli interventi correttivi applicati dai tecnici Microsoft risultano più che quadruplicati rispetto a luglio 2025 e quasi triplicati rispetto al già pesante aggiornamento di giugno 2026.
Microsoft aveva preparato il terreno pochi giorni fa, spiegando che l’intelligenza artificiale sta accelerando sia la ricerca difensiva delle vulnerabilità, sia il lavoro di chi tenta di sfruttarle. Il risultato è sotto gli occhi di tutti: Patch Tuesday più grandi, tempi di valutazione piu’ stretti e minore tolleranza per i sistemi lasciati senza aggiornamenti.
Per Windows 11, il pacchetto principale è KB5101650: porta Windows 11 25H2 alla build 26200.8875 e Windows 11 24H2 alla build 26100.8875. L’aggiornamento è cumulativo: oltre alle correzioni di sicurezza incorpora le modifiche qualitative e le funzioni introdotte con gli aggiornamenti precedenti, compresa l’anteprima facoltativa di giugno.
571 o 622 vulnerabilità? Perché i numeri non coincidono
Il primo aspetto da chiarire riguarda il conteggio. Alcune fonti indicano 571 vulnerabilità, mentre SANS Internet Storm Center ne rileva 622, senza includere altre 427 vulnerabilità di Chromium che possono interessare Microsoft Edge. La differenza non implica necessariamente un errore: i ricercatori possono applicare criteri diversi, per esempio includendo o escludendo vulnerabilità di servizi cloud, prodotti non direttamente legati a Windows, correzioni pubblicate in precedenza oppure CVE associate a componenti condivisi.
Il bollettino del mese, ad ogni modo, coinvolge Windows client e server, Office, SharePoint, Exchange, SQL Server, Visual Studio, Visual Studio Code, Copilot, Azure, Defender, .NET e molti altri prodotti. Un normale PC domestico non espone Active Directory Federation Services, SharePoint Server, WSUS, SQL Server e tutti i ruoli di Windows Server elencati.
Due vulnerabilità già sfruttate per sferrare attacchi
La priorità più alta riguarda due vulnerabilità che Microsoft e CISA considerano già sfruttate attivamente.
La prima è CVE-2026-56155, una falla di elevazione dei privilegi in Active Directory Federation Services. ADFS gestisce autenticazione federata, token e relazioni di fiducia; un problema in tale area può diventare particolarmente pericoloso nelle reti aziendali in cui l’identita rappresenta il punto di passaggio verso applicazioni interne e servizi esterni.
Microsoft classifica CVE-2026-56155 come “Importante”, con punteggio CVSS 7,8. La classificazione non deve però trarre in inganno: una vulnerabilità già usata in attacchi reali merita spesso una precedenza superiore rispetto a una falla critica per la quale non esistono prove di sfruttamento e che richiede condizioni difficili da ottenere.
La seconda è CVE-2026-56164, relativa a SharePoint Server. Microsoft le assegna una gravità moderata e un punteggio CVSS 5,3, ma CISA l’ha inserita nel catalogo delle vulnerabilità sfruttate dai criminali informatici. SharePoint on-premises resta spesso collegato a documenti, credenziali, integrazioni interne e account con privilegi elevati; un accesso iniziale limitato può offrire all’attaccante un punto da cui muoversi verso altre risorse.
Le imprese che usano ADFS o SharePoint Server dovrebbero quindi attivarsi immediatamente: serve verificare subito la versione in uso, applicare gli aggiornamenti compatibili e controllare i registri alla ricerca di autenticazioni anomale, creazione di account, modifiche alle configurazioni, caricamento di file sospetti e processi insoliti avviati dai servizi web.
BitLocker e la vulnerabilità resa pubblica prima delle patch
Un’altra falla da osservare è quella classificata con l’identificativo CVE-2026-50661: è il bypass di una funzione di sicurezza di BitLocker. La vulnerabilità risultava nota pubblicamente prima del Patch Tuesday, anche se al momento della pubblicazione Microsoft non segnalava attacchi attivi.
BitLocker protegge i dati memorizzati sul disco, ma la sicurezza effettiva dipende dall’intera catena di avvio: firmware UEFI, Secure Boot, TPM, boot manager, criteri di recupero e modalità con cui il sistema rilascia le chiavi. Un bypass non equivale automaticamente alla decifratura remota di qualsiasi volume; può richiedere accesso fisico, manipolazione dell’avvio o condizioni specifiche. Resta però un problema delicato per notebook aziendali, dispositivi rubati e computer che custodiscono dati sensibili.
DHCP, Wi-Fi pubblici e attacchi dalla rete locale
Tra le vulnerabilità più interessanti del mese scorgiamo anche CVE-2026-54128, una falla critica di esecuzione di codice nel client DHCP di Windows.
DHCP assegna automaticamente indirizzo IP, gateway, DNS e altri parametri quando il dispositivo entra in una rete. Proprio per questo il client elabora dati provenienti da un’infrastruttura che, in una rete non affidabile, potrebbe trovarsi sotto il controllo di un aggressore. L’aggressore deve trovarsi in posizione adiacente alla rete o riuscire a far rispondere un server DHCP malevolo.
La tornata di luglio corregge anche varie vulnerabilità nel servizio DHCP Server, tra cui problemi critici di esecuzione di codice da remoto. Su un server, il rischio cambia: un componente che riceve e interpreta richieste di rete da molti client può diventare un bersaglio di grande valore.
Gli amministratori dovrebbero limitare l’esposizione del ruolo DHCP ai segmenti necessari, separare eventuali reti usate dagli ospiti, monitorare server non autorizzati e applicare filtri come DHCP snooping sugli switch che li supportano.
RMCAST e i rischi che richiedono vicinanza alla rete
Due CVE critiche, CVE-2026-54982 e CVE-2026-54995, interessano il driver Windows Reliable Multicast Transport, indicato anche come RMCAST. Il multicast affidabile consente di distribuire dati a più destinatari cercando di garantire ordine e consegna dei pacchetti. Non rientra tra le funzioni più visibili per l’utente comune, ma il codice opera a un livello sufficientemente basso da rendere seria una corruzione della memoria.
Un aggressore che abbia ottenuto in precedenza l’accesso a una LAN aziendale potrebbe sfruttare una vulnerabilità simile per compromettere altre macchine, ampliare i privilegi o attraversare segmenti configurati male.
Una superficie enorme: kernel, NTFS, RDP, SMB e driver
Scorrendo i bollettini pubblicati in occasione del Patch Tuesday di luglio 2026, si rilevano interventi su quasi tutti i blocchi fondamentali di Windows: kernel, Win32k, DirectX, NTFS, ReFS, SMB, TCP/IP, DNS, Desktop remoto, Hyper-V, Secure Boot, Print Spooler, Media Foundation, driver USB, Windows Installer, File Explorer e servizi crittografici.
Le vulnerabilità di elevazione dei privilegi sono numerosissime: di solito non consentono di entrare direttamente nel sistema non aggiornato dalla rete Internet, ma possono trasformare l’esecuzione con diritti limitati in controllo amministrativo o accesso al kernel. Nelle intrusioni rappresentano spesso il secondo passaggio: phishing, documento malevolo o credenziali rubate aprono la porta; una falla locale permette poi di disattivare difese, rubare segreti e mantenere l’accesso.
Le falle di esecuzione di codice remoto attirano maggiore attenzione, ma non tutte hanno la stessa facilità di sfruttamento. Alcune richiedono che l’utente apra un file, visualizzi un contenuto multimediale o si colleghi a un server controllato dall’attaccante. Altre interessano servizi di rete e possono risultare più pericolose quando una porta rimane esposta.
Desktop remoto merita un controllo specifico: le patch condivise da Microsoft intervengono sulla presenza di vulnerabilità nel client, nel protocollo e nei servizi RDP. Chi mantiene RDP raggiungibile direttamente da Internet continua ad assumersi un rischio elevato anche dopo l’installazione delle patch: meglio usare VPN, gateway dedicati, autenticazione a più fattori, Network Level Authentication e regole di accesso ristrette.
Office resta uno dei vettori più esposti
Excel, Word, PowerPoint, OneNote e i componenti condivisi di Office ricevono – anche questo mese – decine di correzioni, comprese quelle dedicate alla risoluzione di varie vulnerabilità di esecuzione di codice. I documenti Office elaborano formati complessi, oggetti incorporati, immagini, formule, collegamenti e contenuti provenienti da fonti non affidabili.
Molte di queste falle richiedono un’interazione dell’utente, per esempio l’apertura di un documento preparato ad arte: allegati e link restano strumenti centrali nelle campagne di phishing.
Le protezioni come Visualizzazione protetta, il blocco delle macro provenienti da Internet e Microsoft Defender for Office 365 riducono il rischio, ma perdono efficacia quando l’utente ignora gli avvisi o quando un documento sfrutta un errore prima dell’attivazione delle difese applicative.
Per le aziende, aggiornare soltanto Windows non basta: bisogna lavorare su Microsoft 365 Apps, Office LTSC, installazioni MSI e prodotti server. Lo stesso vale per Visual Studio Code, Visual Studio, GitHub Copilot e altri strumenti di sviluppo elencati nel bollettino.
MDASH: come Microsoft usa l’intelligenza artificiale per trovare bug
L’aumento delle correzioni non dimostra da solo che Windows sia diventato improvvisamente quattro volte meno sicuro.
Il fenomeno è per buona parte giustificabile in forza della maggiore capacità di individuare difetti software che prima sarebbero rimasti nascosti più a lungo: Microsoft usa MDASH, acronimo di Multi-Model Agentic Scanning Harness, per analizzare componenti complessi con più modelli AI e agenti specializzati.
L’azienda di Redmond descrive un’infrastruttura dedicata che analizza binari critici, confronta le ipotesi prodotte da famiglie differenti di modelli e sottopone i risultati a una fase ulteriore di verifica. Solo le segnalazioni marcate con un livello di affidabilità elevato raggiungono gli ingegneri: l’obiettivo è ridurre i falsi positivi, produrre prove tecniche ripetibili e trasformare un rilevamento in un’attività concreta di correzione.
MDASH ha già rilevato vulnerabilità in aree come kernel, Hyper-V, Active Directory, HTTP.sys, DNS, DHCP e Desktop remoto ma Microsoft insiste sul ruolo della supervisione umana: l’intelligenza artificiale amplia la quantità di codice analizzabile, mentre ricercatori e sviluppatori valutano l’impatto, correggono il difetto e verificano che la modifica non provochi comportamenti anomali.