Microsoft ha rilasciato il 10 febbraio 2026 le patch per il Patch Tuesday di febbraio, correggendo un totale di 58 vulnerabilità che interessano prodotti come Windows, Office e Azure. Particolarmente preoccupante è il fatto che sei di queste vulnerabilità, definite zero-day, fossero già attivamente sfruttate da attori malevoli. Queste falle potevano essere attivate con un semplice click da parte dell'utente, aumentando significativamente il rischio per la sicurezza sia degli ambienti aziendali che domestici.
Dettaglio delle vulnerabilità zero-day attivamente sfruttate
Le sei vulnerabilità zero-day risolte da Microsoft includono:
- CVE‑2026‑21510 (CVSS: 8.8) – Un bypass della funzionalità di sicurezza di Windows Shell. Questa falla permetteva di aggirare le protezioni di SmartScreen e del sistema operativo semplicemente inducendo un utente ad aprire un link o un file shortcut malevolo. Il bug era già stato sfruttato in scenari reali prima del rilascio della patch.
- CVE‑2026‑21513 – Un bypass delle funzionalità di sicurezza nel motore MSHTML. Colpendo i motori compatibili con Internet Explorer, questa vulnerabilità consentiva l'esecuzione di codice tramite file HTML o shortcut, eludendo le difese standard.
- CVE‑2026‑21514 – Un bypass delle protezioni OLE in Microsoft Word. L'exploit avveniva tramite l'apertura di un documento Office appositamente creato, senza attivare le difese di sicurezza integrate in Office o Microsoft 365.
- CVE‑2026‑21519 – Un'elevazione di privilegi nel Desktop Window Manager (DWM). Un attaccante con accesso locale poteva ottenere privilegi di sistema (SYSTEM) sfruttando una falla nel gestore grafico di Windows.
- CVE‑2026‑21533 – Un'elevazione di privilegi nei Servizi Desktop Remoto di Windows. Questa vulnerabilità consentiva a un attaccante autenticato di ottenere diritti elevati, modificando chiavi di configurazione e aggiungendo utenti al gruppo Administrator.
- CVE‑2026‑21525 – Un attacco di Denial of Service nel Gestore Connessioni Accesso Remoto. Il bug causava crash locali tramite la dereferenziazione di puntatori nulli, privando temporaneamente l'utente dell'uso del sistema.
Contesto e azioni consigliate
Queste sei vulnerabilità zero-day rappresentano una porzione significativa delle criticità risolte nel Patch Tuesday di febbraio, con una priorità assoluta per l'applicazione delle patch, specialmente negli ambienti business ed enterprise.
La CISA (l'agenzia per la sicurezza informatica statunitense) ha incluso queste falle nel suo catalogo KEV (Known Exploited Vulnerabilities), sollecitando una rapida bonifica degli ambienti vulnerabili a causa del rischio concreto di exploit in corso. La necessità di applicare immediatamente le patch è ulteriormente sottolineata dal coinvolgimento di Windows, Office, Internet Explorer (tramite MSHTML) e Azure, e dal fatto che i bug permettano compromissioni tramite semplici azioni come un click o l'apertura di documenti, senza allarmi preventivi.
Valutazioni esperte e implicazioni
L'uso di vulnerabilità di tipo Security Feature Bypass, in particolare nel Windows Shell e MSHTML, indica un affinamento delle tecniche di attacco che richiedono una bassa interazione utente, come quelle basate su un singolo click o sull'apertura di documenti apparentemente innocui.
La rimozione di avvisi di sicurezza, come quelli generati da SmartScreen, abbassa drasticamente il livello di guardia degli utenti, aumentando la probabilità di successo di un attacco. Il combinarsi di bug per l'elevazione di privilegi (DWM, Remote Desktop) e per il denial of service (Remote Access Connection Manager) suggerisce una possibile strategia di attacco in due fasi: un'intrusione iniziale seguita da un'escalation dei privilegi e dal consolidamento del controllo del sistema compromesso.
Raccomandazioni operative immediate
Microsoft raccomanda l'installazione immediata delle patch distribuite tramite Windows Update, WSUS e Microsoft Update Catalog, poiché non richiedono configurazioni post-patch e sono disponibili per i sistemi supportati e per quelli con Extended Security Updates.
Gli amministratori IT, in particolare nelle reti enterprise, dovrebbero dare priorità ai sistemi con interfaccia utente esposta, Office, RDP e servizi grafici (DWM), verificando la corretta distribuzione delle patch e monitorando eventuali anomalie post-aggiornamento. Per i settori governativi o le infrastrutture critiche, l'implementazione del catalogo KEV per automatizzare la correzione e la reportistica di conformità è fondamentale per mitigare gli attacchi in corso.
Una finestra di patching critica
Il Patch Tuesday di febbraio 2026 ha rappresentato un momento critico, con un'intensificazione degli attacchi proprio in concomitanza con il rilascio delle patch. La presenza simultanea di exploit attivi, divulgazione pubblica e bug di bypass ha aumentato la pressione sugli operatori IT, costretti a operare con tempi estremamente ridotti.
A livello strategico, questo evento evidenzia come gli aggressori stiano perfezionando modalità di attacco a bassa interazione utente, spesso silenziose, compromettendo rapidamente gli ambienti aziendali e generando impatti significativi in termini di downtime, esfiltrazione dati o installazione di ransomware. La sicurezza moderna richiede un approccio proattivo, con patching tempestivo, monitoraggio intelligente e la consapevolezza che anche azioni minime, come un click o l'apertura di un documento, possono innescare attacchi di vasta portata.
