Microsoft ha inaugurato il 2026 con il suo primo Patch Tuesday, un appuntamento che ha portato alla luce e alla correzione di 114 vulnerabilità nei prodotti Windows e correlati, tra cui otto classificazioni critiche e una zero-day già sfruttata attivamente in attacchi reali. Questo round di aggiornamenti, distribuito martedì 13 gennaio, copre un’ampia gamma di componenti critici come il Desktop Window Manager, Microsoft Office, il Local Security Authority Subsystem Service (LSASS) e vari driver di kernel, con un focus particolare su escalation di privilegi, esecuzione remota di codice e divulgazione di informazioni.
Zero-Day sfruttate
Tra le vulnerabilità più urgenti spicca CVE-2026-20805, una falla di information disclosure nel Desktop Window Manager con CVSS 5.5, che permette a un attaccante autenticato di estrarre indirizzi di sezioni da porte remote ALPC in memoria user-mode, facilitando bypass di protezioni e ulteriori exploit. Questa zero-day è stata aggiunta al Known Exploited Vulnerabilities Catalog di CISA, con scadenza per il patching fissata al 3 febbraio 2026, e attribuita al Microsoft Threat Intelligence Center; gli attaccanti la usano per leak di dati sensibili senza esecuzione diretta di codice, ma con potenziale chain ad attacchi più gravi. Altre due zero-day includono CVE-2026-21265, un security feature bypass legato alla scadenza dei certificati Secure Boot del 2011 che rischia di permettere boot maliziosi su sistemi non aggiornati, e una vecchia CVE-2023-31096 nei driver Agere Soft Modem rimossa del tutto per prevenire escalation a privilegi SYSTEM.
Vulnerabilità critiche principali
Le otto falle critiche comprendono sei remote code execution (RCE), tra cui CVE-2026-20944, CVE-2026-20952 e CVE-2026-20953 in Microsoft Office e Word, tutte con CVSS 8.4 e basate su use-after-free o out-of-bounds read attivabili tramite preview di documenti malevoli in email, senza necessità di apertura completa del file. CVE-2026-20854 colpisce LSASS con un use-after-free che consente RCE remota a un attaccante autorizzato, potenzialmente compromettendo autenticazione e credenziali, mentre CVE-2026-20876 è un heap buffer overflow nel Windows Virtualization-Based Security Enclave per escalation a Virtual Trust Level 2. Altre critiche come CVE-2026-20822 nel Graphics Component e CVE-2026-20955/20957 in Excel sfruttano race condition o integer underflow per privilegi SYSTEM o RCE via file infetti.
Impatti e distribuzione
La distribuzione vede 57 escalation di privilegi, 22 RCE, 22 information disclosure e altre categorie minori come spoofing e DoS, colpendo da Windows NTFS e Cloud Files Mini Filter Driver a servizi come RRAS, WinSock e Hyper-V. Aggiornamenti specifici includono KB5074109 per Windows 11 25H2/24H2, KB5073455 per 23H2 e vari per Server editions, con enfasi su deployment rapido per mitigare rischi in ambienti enterprise esposti. Prodotti come Office LTSC 2024/2021, Excel e SharePoint ricevono fix Click-to-Run, mentre Edge incorpora patch Chromium pregressa.
Implicazioni tecniche
Per un pubblico esperto, queste patch rivelano pattern ricorrenti come buffer overflow in driver kernel (es. CVE-2026-20820 nel Common Log File System Driver) e type confusion in Ancillary Function Driver for WinSock (CVE-2026-20860), che richiedono hardening di servizi esposti e monitoraggio di ALPC ports per rilevare leak. In contesti di threat hunting, focalizzarsi su LSASS e DWM per indicatori di chain exploitation, integrando mitigazioni temporanee come registry tweak per RRAS o VBS fino al patching completo, riducendo il Qualys Detection Score in tool VMDR. Questo Patch Tuesday, terzo gennaio più grande dopo il 2025, sottolinea la necessità di automazione patching in pipeline CI/CD per Linux-Windows ibridi e threat intel su zero-day chain.
[…] con Windows 11 23H2 che hanno installato il più recente giro di aggiornamenti di sicurezza di gennaio. Dal punto di vista dell’utente tutto sembra normale: si clicca su “Arresta il sistema” o […]