Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

update

Aggiornamenti Microsoft aprile 2026: corretta una zero-day in SharePoint già sfruttata

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Il Patch Tuesday di aprile 2026 corregge 165 vulnerabilità tra cui una zero-day su SharePoint già attivamente sfruttata, l’exploit BlueHammer su Microsoft Defender rilasciato pubblicamente da un ricercatore scontento e una falla critica nel servizio IKE di Windows. Urgente l’updati dei propri sistemi

Pubblicato il 15 apr 2026
Paolo Tarsitano

Editor Cybersecurity360.it

Aggiornamenti Microsoft Patch Tuesday
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il Patch Tuesday di aprile 2026 è, per ammissione degli stessi analisti del settore, uno degli aggiornamenti mensili più rilevanti che Microsoft abbia mai rilasciato: Dustin Childs dello Zero Day Initiative lo ha definito il secondo Patch Tuesday più grande della storia di Microsoft, superato soltanto dal ciclo di ottobre 2025 con 175 vulnerabilità corrette.

In totale, il pacchetto di aprile 2026 copre 165 CVE con 8 classificate come Critical e 154 come Important.

Due di queste vulnerabilità sono zero-day nel senso più stretto del termine: una era già sfruttata attivamente in rete prima del rilascio della patch; l’altra era già nota pubblicamente con codice exploit disponibile su GitHub. Un contesto che impone ai responsabili IT e ai CISO di trattare questo aggiornamento come un’emergenza operativa, non come una routine mensile.

Microsoft stessa ha confermato a The Register che il volume eccezionale riflette in parte l’aumento delle scoperte da parte di strumenti di ricerca automatizzata basati su intelligenza artificiale: “non si tratta di un aumento significativo di scoperte guidate dall’AI, anche se abbiamo attribuito una vulnerabilità a un ricercatore di Anthropic che usava Claude”. Una dichiarazione che, paradossalmente, conferma la direzione del settore.

Aggiornamenti Microsoft marzo 2026: corrette due zero-day e la prima vulnerabilità scoperta dall’IA

I dettagli della zero-day in SharePoint già sotto attacco

La vulnerabilità che richiede attenzione immediata è la CVE-2026-32201, una falla di spoofing in Microsoft SharePoint Server nelle versioni 2016, 2019 e Subscription Edition causata da una validazione insufficiente dell’input. Microsoft ha confermato che al momento del rilascio della patch questa falla era già attivamente sfruttata in attacchi reali.

Il punteggio CVSS di 6.5 può sembrare moderato, ma non deve trarre in inganno in quanto lo sfruttamento di questa falla potrebbe consentire agli attaccanti di manipolare il modo in cui le informazioni vengono presentate agli utenti, inducendoli a fidarsi di contenuti malevoli.

In termini pratici, un attaccante non autenticato può raggiungere SharePoint attraverso la rete e falsificare contenuti, portali, documenti o interfacce utente aprendo la strada a campagne di phishing avanzate, manipolazione non autorizzata dei dati e attacchi di social engineering mirati.

Inoltre, questa vulnerabilità ha anche un altro importante precedente: l’ultima vulnerabilità di spoofing su SharePoint Server sfruttata come zero-day è stata la CVE-2025-49706 del luglio 2025, parte della catena di exploit ToolShell utilizzata da gruppi ransomware e di cyber spionaggio.

La storia, dunque, si ripete e il valore di SharePoint come vettore d’attacco verso l’infrastruttura Enterprise rimane invariato.

BlueHammer: quando un ricercatore arrabbiato diventa un rischio cyber

La seconda vulnerabilità zero-day di questo mese è la CVE-2026-33825, un’escalation di privilegi in Microsoft Defender con punteggio CVSS 7.8. Ma la storia dietro questa CVE è almeno altrettanto importante del dato tecnico.

La storia di BlueHammer

Lo scorso 2 aprile 2026, un ricercatore di sicurezza che opera con lo pseudonimo “Chaotic Eclipse” ha pubblicato su GitHub il codice exploit di una vulnerabilità in Microsoft Defender, battezzandola BlueHammer.

La decisione e il tono della comunicazione pubblica, con riferimenti a un accordo violato e a una situazione personale difficile, lasciavano trasparire una profonda frustrazione con il processo di divulgazione responsabile (responsible disclosure) di Microsoft.

La vulnerabilità sfrutta una race condition TOCTOU (time-of-check to time-of-use) combinata con una path confusion nel meccanismo di aggiornamento delle firme di Defender.

L’obiettivo della catena di exploit è sofisticato: forzare Microsoft Defender a creare un nuovo Volume Shadow Copy, mettere in pausa Defender nel momento preciso; quindi, accedere ai file degli hive del registro di sistema da quello snapshot prima che Defender possa ripulire.

Questo consente di estrarre e decifrare gli hash delle password NTLM degli account locali, scalare i privilegi a livello SYSTEM e, paradossalmente, usare il software di sicurezza come strumento per compromettere il sistema che protegge.

Will Dormann di Tharros ha confermato che l’exploit funziona, precisando che si tratta di una Local Privilege Escalation (LPE): richiede l’accesso locale al sistema, quindi non è sfruttabile da remoto. Tuttavia, gli attaccanti sono abituati a ottenere accesso locale attraverso phishing, furto di credenziali o altre vulnerabilità, rendendo quindi questo tipo di falla un anello critico nelle catene d’attacco post-exploitation, specialmente per i gruppi ransomware.

Microsoft ha corretto il problema mediante un aggiornamento automatico della piattaforma Defender alla versione 4.18.26050.3011.

La buona notizia è che Defender si aggiorna automaticamente e non richiede il riavvio del sistema. La cattiva notizia è che l’exploit era disponibile pubblicamente per oltre dieci giorni prima che arrivasse il fix: un arco di tempo sufficiente, secondo i ricercatori, perché i gruppi APT e i ransomware operator sviluppassero proprie varianti.

Le altre vulnerabilità Critical da non sottovalutare

In occasione del rilascio del Patch Tuesday di aprile 2026, Microsoft è intervenuta su altre tre importanti vulnerabilità. Ecco tutti i dettagli.

CVE-2026-33824, Windows IKE Service RCE (CVSS 9.8)

È la vulnerabilità con il punteggio CVSS più alto del mese: 9.8 su 10, classificata come critica, senza autenticazione richiesta e con bassa complessità di attacco.

Il problema di sicurezza risiede nel servizio Windows Internet Key Exchange (IKE) v2 e consente a un attaccante di eseguire codice remoto inviando semplicemente pacchetti appositamente costruiti a qualsiasi sistema Windows con IKE v2 abilitato, senza che l’utente faccia nulla e senza che l’attaccante disponga di alcun privilegio.

I sistemi interessati includono Windows Server 2025, 2022, 2019 e 2016 (anche in installazione Server Core), nonché specifiche versioni desktop di Windows 10 e 11 per architetture x64, 32-bit e ARM.

Le organizzazioni che non possono applicare immediatamente la patch hanno a disposizione due mitigazioni temporanee: bloccare il traffico in entrata sulle porte UDP 500 e 4500 per i sistemi che non usano IKE; oppure configurare regole firewall per consentire traffico sulle stesse porte solo da indirizzi peer noti, per chi invece usa IKE.

CVE-2026-33826, Windows Active Directory RCE (CVSS 8.0)

Classificata come critica con valutazione “Exploitation More Likely”, questa vulnerabilità colpisce Active Directory attraverso una validazione impropria dell’input nelle chiamate RPC.

Un attaccante autenticato può inviare una chiamata RPC appositamente costruita e ottenere esecuzione di codice con gli stessi permessi del processo RPC host.

Come ha sottolineato Jack Bicer di Action1, “una volta sfruttata, questa vulnerabilità può accelerare l’escalation di privilegi e abilitare il takeover completo del dominio, minando i confini di fiducia Enterprise“.

CVE-2026-33827, Windows TCP/IP RCE (wormable su IPv6/IPsec)

Zero Day Initiative ha classificato questa vulnerabilità come wormable su sistemi che usano IPv6 con IPsec abilitato: significa che un exploit riuscito potrebbe propagarsi autonomamente da un sistema all’altro senza intervento umano, sulla falsariga di WannaCry.

La race condition alla base del bug rende lo sfruttamento più complesso, ma non è un motivo sufficiente per ritardare il patching.

Tre considerazioni finali per i CISO

Il nuovo Patch Tuesday di Microsoft, relativo al mese di aprile 2026, è l’occasione per fare alcune utili considerazioni:

  1. Il volume record non è un’anomalia: è la nuova normalità. L’aumento delle scoperte automatizzate tramite AI sta comprimendo il ciclo di vita delle vulnerabilità su entrambi i fronti: chi difende trova di più e più in fretta, ma anche chi attacca ha accesso agli stessi strumenti. La risposta non può essere solo velocizzare il patching: occorre ripensare l’architettura di resilienza, partendo dalla segmentazione e dalla riduzione della superficie esposta.
  2. BlueHammer è un avvertimento sul rapporto con la ricerca indipendente. Il caso di Chaotic Eclipse non è isolato. I processi di divulgazione responsabile sono spesso percepiti dai ricercatori indipendenti come burocratici, lenti e poco trasparenti. Quando il rapporto si rompe, il risultato è codice exploit pubblico senza patch: esattamente lo scenario peggiore per chi deve difendere i sistemi. Le organizzazioni che dipendono da software Microsoft (e non solo) hanno tutto l’interesse a sostenere politicamente un miglioramento di questi processi.

Dunque, il Patch Tuesday è l’occasione giusta per rivalutare il modello operativo di patch management. Se l’organizzazione non ha ancora adottato un processo di continuous patching con finestre di emergenza definite per le vulnerabilità con sfruttamento attivo, il momento di farlo è adesso.

Teniamo i nostri sistemi sempre aggiornati

Dunque, se il patch management diventa una misura di cyber difesa strategica per le aziende, significa che non basta più semplicemente “correre ai ripari”: quando una zero-day con codice exploit già pubblico è coinvolta, il tempo diventa un fattore decisivo.

In un contesto di attacchi sempre più veloci e mirati, la capacità delle aziende di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione diventa un fattore critico per la resilienza informatica.

Installiamo gli aggiornamenti Microsoft

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo.

Quando un aggiornamento è disponibile, viene scaricato e segnalato all’utente che così può installarlo per mantenere il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 11 è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o, quantomeno, dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.

Ulteriori dettagli sul pacchetto cumulativo di aggiornamenti per questo mese sono disponibili sulla pagina ufficiale Microsoft.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione; In Iran la sorveglianza digitale va a caccia di manifestanti; Guerra in Iran, il blackout informativo come cyber sabotaggio; Data center in guerra: l'interruzione di Amazon Cloud negli Emirati arabi uniti dimostra che oggi il rischio è multi-rischio; LLM in guerra: il Pentagono aprirà alle aziende la possibilità di traininig dell'AI con dati riservati

  • guerra in iran

    L’attacco fisico al data center Amazon negli Emirati che ridefinisce il rischio cloud

    04 Mar 2026

    di Mirella Castigli

    Condividi
  • Contrasto alla guerra ibrida: le mosse europee; Competizione Ibrida e risposta multi-dominio

  • Defense Summit 2025

    Competizione Ibrida e risposta multi-dominio: la riorganizzazione della Difesa nel Piano Crosetto

    09 Dic 2025

    di Alessia Valentini

    Condividi
  • cyber attacchi iran; Crif: l'Iran al terzo posto per furto di email, Italia nel mirino nel dark web

  • attacchi cyber nazione

    L'Iran ha cominciato la contro-guerra cyber: dai Ddos ai sabotaggi, ecco cosa bisogna sapere

    16 Mar 2026

    di Alessandro Longo

    Condividi
  • GDPR e NIS 2; Dalla teoria alla tabella: correlare BIA, SL e incidenti significativi nel Monis

  • la natura della conformità

    La fine dell'obbedienza: come GDPR e NIS 2 superano il modello prescrittivo del diritto

    17 Ott 2025

    di Giuseppe Alverone

    Condividi
0
Lascia un commento, la tua opinione conta.x