Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

update

Aggiornamenti Microsoft maggio 2026: nessuna zero-day, ma non significa assenza di rischio

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Maggio 2026 porta una notizia insolita: nessuna zero-day attivamente sfruttata nel Patch Tuesday Microsoft, per la prima volta da giugno 2024. Ma l’assenza di exploit attivi non significa assenza di rischio. E questo mese debutta MDASH, il sistema AI per la ricerca automatizzata di falle. Ecco tutti i dettagli

Pubblicato il 13 mag 2026
Paolo Tarsitano

Editor Cybersecurity360.it

Aggiornamenti Microsoft Patch Tuesday
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il Patch Tuesday di maggio 2026 porta con sé una notizia rara, quasi sorprendente per chi ha seguito i mesi precedenti: nessuna delle vulnerabilità corrette risulta attivamente sfruttata in the wild, né pubblicamente divulgata prima del rilascio della patch.

È la prima volta che accade dall’agosto 2024, e interrompe una serie di cicli mensili consecutivi in cui gli aggiornamenti Microsoft aveva dovuto fare i conti con vulnerabilità zero-day di varia gravità, dallo SharePoint Server del mese scorso al BlueHammer su Defender di aprile.

Caso Nightmare-Eclipse: ci sono ancora due zero-day di Microsoft Defender in circolazione

Il quadro generale: nessuno zero-day, ma non è una pausa

Ma sarebbe un errore leggere questa notizia come un segnale di tregua. Il fatto che non vi siano zero-day non riduce, infatti, l’urgenza del patching. Come sappiamo, la finestra tra il rilascio di una patch e il reverse engineering dell’aggiornamento per sviluppare un exploit è ormai nell’ordine delle ore, non dei giorni. Dunque, il dato “nessuno sfruttamento attivo” è una fotografia del momento del rilascio degli aggiornamenti, non una garanzia per il futuro.

Il Patch Tuesday di maggio corregge 137 vulnerabilità, con 30 classificate come Critical e ben 14 CVE con CVSS pari o superiore a 9.0, tra cui due a 9.9 e una a 10.0.

Come ha sottolineato Dustin Childs dello Zero Day Initiative, questo è il terzo ciclo mensile consecutivo di aggiornamenti Microsoft del 2026 con oltre 100 CVE e il ritmo complessivo dell’anno suggerisce che Microsoft potrebbe superare il record storico di 1.245 vulnerabilità corrette nel 2020.

La distribuzione per tipologia è sempre rivelatrice: le escalation di privilegi (EoP) rappresentano il 48,3% del totale, seguite dalle RCE al 24,6%. Un dato strutturale che riflette la complessità crescente dell’ecosistema Windows e la pervasività dei meccanismi di controllo degli accessi come superficie d’attacco privilegiata nelle catene di post-exploitation ransomware.

Microsoft svela MDASH, il suo sistema AI per la caccia alle vulnerabilità

Il dato tecnico più rilevante sugli aggiornamenti Microsoft di questo Patch Tuesday non è una singola CVE, ma un annuncio che ridisegna il panorama della ricerca sulle vulnerabilità: Microsoft ha, infatti, rivelato ufficialmente l’esistenza di MDASH, un sistema di sicurezza multi-modello agentico sviluppato internamente e rimasto segreto fino a oggi, che ha identificato 16 delle vulnerabilità corrette in questo ciclo mensile.

Tom Gallagher, Vice President of Engineering di Microsoft Security Response Center, ha confermato che MDASH è ora disponibile in private preview per un numero limitato di clienti, nella stessa logica con cui Anthropic ha reso disponibile il suo sistema Mythos e il progetto Glasswing.

È la prima volta che Microsoft formalizza l’uso di un sistema AI agentico proprietario per la ricerca di vulnerabilità, dopo mesi in cui la domanda circolava nell’industria: perché il volume dei Patch Tuesday sta crescendo così rapidamente?

La risposta è ora esplicita. Gallagher ha scritto: “questo mese il rilascio si colloca nella fascia alta di un mese hotpatch, e ci aspettiamo che i rilasci continuino a crescere per qualche tempo”. La causa non è una crisi qualitativa del codice Microsoft, ma l’accelerazione della scoperta automatizzata. L’AI trova bug più velocemente di quanto gli ingegneri riescano a correggerli e il volume dei Patch Tuesday riflette direttamente questa accelerazione.

Ma la presentazione ufficiale di MDASH ha anche un altro importante significato per i team di sicurezza: se i sistemi AI proprietari dei vendor trovano decine di vulnerabilità al mese che prima sarebbero rimaste latenti per mesi o anni, il patch management deve evolvere di conseguenza. Il modello mensile non è più sufficiente come framework esclusivo: occorre pianificare cicli di aggiornamento più frequenti per le componenti ad alto rischio, con finestre di emergenza predefinite.

Aggiornamenti Microsoft: le vulnerabilità critiche nel dettaglio

Ecco, quindi, un’analisi tecnica delle principali vulnerabilità corrette in occasione del rilascio degli aggiornamenti Microsoft con il Patch Tuesday per il mese di maggio 2026.

Tutti i dettagli sugli aggiornamenti Microsoft del Patch Tuesday di maggio 2026 sono disponibili sulla pagina ufficiale Microsoft.

La CVE-2026-41089 in Netlogon RCE wormable: il domain controller nel mirino

Se c’è una vulnerabilità che merita il titolo di “urgenza assoluta” di questo mese, è la CVE-2026-41089, un’escalation di esecuzione di codice remoto nel servizio Windows Netlogon con CVSS 9.8. Il servizio Netlogon è il processo di Windows Server responsabile dell’autenticazione nel dominio ed è il cuore pulsante dell’infrastruttura Active Directory di qualsiasi organizzazione.

La vulnerabilità è causata da uno stack-based buffer overflow: un attaccante remoto non autenticato può inviare una richiesta di rete appositamente costruita a un domain controller e ottenere l’esecuzione di codice arbitrario sul sistema bersaglio. Nessuna credenziale. Nessuna interazione utente. Dustin Childs di ZDI è stato categorico: “questo bug è wormable. Il domain controller compromesso equivale all’intero dominio compromesso”.

Il nome Netlogon evoca ricordi che i professionisti della sicurezza non hanno dimenticato: nel 2020, Zerologon (CVE-2020-1472), un’altra vulnerabilità critica nel medesimo servizio, aveva consentito ad attaccanti non autenticati di assumere il controllo completo dei domain controller in pochi secondi, venendo sfruttata attivamente da gruppi APT di vari stati nazionali.

Nel 2025 una vulnerabilità DoS nel medesimo stack aveva già riproposto il problema. La storia di Netlogon è una storia di superficie d’attacco strutturalmente fragile che merita attenzione permanente.

La CVE-2026-41096 in DNS Client RCE: la superficie d’attacco più ampia del mese

Se Netlogon è il bersaglio più critico per chi attacca l’infrastruttura di dominio, CVE-2026-41096 è la vulnerabilità con la superficie d’attacco potenzialmente più estesa del mese. Si tratta di un heap-based buffer overflow nel Windows DNS Client, classificata Critical con CVSS 9.8.

Il meccanismo di attacco è elegante nella sua semplicità: un server DNS controllato dall’attaccante invia una risposta DNS appositamente costruita a qualsiasi sistema Windows vulnerabile. Il client DNS elabora la risposta in modo errato, corrompe la memoria e l’attaccante ottiene esecuzione di codice remoto senza autenticazione e senza interazione utente.

Come ha avvertito Childs, “poiché il DNS Client è in esecuzione su praticamente ogni macchina Windows, la superficie d’attacco è enorme”. In uno scenario di attacco MitM (man-in-the-middle) o con un server DNS rogue, un attaccante potrebbe potenzialmente compromettere interi parchi macchine Enterprise in modo rapido e scalabile.

Microsoft ha valutato lo sfruttamento come “Exploitation Less Likely”, ma non bisogna abbassare la guardia: l’importanza strategica del DNS e dei servizi Active Directory eleva significativamente il rischio organizzativo associato al ritardo nel patching. Analogia storica immediata: SigRed (CVE-2020-1350), la vulnerabilità wormable nel Windows DNS Server del 2020 con CVSS 10.0, che aveva ugualmente interessato l’intera infrastruttura di risoluzione dei nomi Windows.

La CVE-2026-42898 in Dynamics 365 On-Prem: quando il CRM è il vettore di compromissione

La vulnerabilità con il CVSS più alto tra quelle che richiedono azione da parte degli utenti è CVE-2026-42898, un difetto di code injection in Microsoft Dynamics 365 On-Premises con un punteggio di 9.9 su 10.

Si tratta di una vulnerabilità rara e particolarmente pericolosa per due ragioni specifiche.

Innanzitutto, un attaccante autenticato con i soli permessi minimi può modificare lo stato salvato di una sessione di processo in Dynamics CRM e innescare l’elaborazione di quei dati da parte del server, ottenendo l’esecuzione di codice arbitrario. Non servono privilegi amministrativi. Un account utente standard è sufficiente.

La seconda ragione, forse la più critica, è che lo sfruttamento della vulnerabilità determina uno “scope change”, ovvero l’impatto si estende oltre il componente vulnerabile, raggiungendo sistemi e risorse correlate. Come ha spiegato Jack Bicer di Action1: “poiché gli ambienti Dynamics 365 si integrano frequentemente con provider di identità, sistemi finanziari e flussi di lavoro operativi, la compromissione di queste piattaforme potrebbe espandersi rapidamente in una compromissione enterprise più ampia”. Customer record, dati finanziari, workflow operativi: il CRM è spesso il sistema più ricco di dati sensibili nell’infrastruttura di un’organizzazione.

La CVE con CVSS 10.0 e l’importanza della visibilità sulle vulnerabilità

Nel Patch Tuesday del mese di maggio 2026 c’è anche un CVSS perfetto di 10.0 relativo alla vulnerabilità CVE-2026-42826 di tipo information disclosure nella toolchain Azure DevOps che Microsoft ha già integralmente mitigato dal proprio lato cloud. Non è richiesta alcuna azione da parte degli utenti.

La ragione per cui è stata comunque pubblicata con CVE è la trasparenza: Microsoft ha scelto di documentare la falla e la sua risoluzione nonostante l’utente non debba fare nulla.

Dal punto di vista della governance della sicurezza, questo comportamento è esattamente quello che ci si aspetta da un vendor responsabile: rendere visibili anche le vulnerabilità risolte in autonomia, per permettere ai team di sicurezza di includere l’incidente nei propri audit e nei registri di rischio.

Una prassi che dovrebbe diventare standard anche al di fuori dell’ecosistema Microsoft.

La nuova normalità del patch management

L’analisi degli aggiornamenti Microsoft contenuti nel Patch Tuesday del mese di maggio 2026 consente di fare tre considerazioni su quanto l’attuale scenario di attacco abbia influenza sulle policy di patch management.

L’era dell’AI-driven vulnerability discovery è ufficialmente iniziata

Con il debutto pubblico di MDASH e i precedenti di XBOW (Immersive), Mythos (Anthropic) e Glasswing, la scoperta di vulnerabilità è entrata in una nuova fase.

I programmi di patch management che non prevedono cicli di aggiornamento ravvicinati per le componenti ad alto rischio sono già strutturalmente inadeguati alla velocità di scoperta attuale.

Netlogon e DNS: l’infrastruttura di autenticazione è un perimetro critico autonomo

Due delle vulnerabilità più gravi di questo mese colpiscono componenti che sono presenti su praticamente ogni sistema Windows aziendale e che non possono essere disabilitati.

La risposta non può essere solo il patching: occorre monitoraggio continuo del traffico Netlogon, segmentazione delle reti DNS, e rilevamento comportamentale delle anomalie su questi servizi.

L’assenza di zero-day non deve farci abbassare la guardia

La retorica del “mese tranquillo”, spesso associata all’assenza di zero-day attivamente sfruttate, rischia di creare una falsa percezione di sicurezza.

Trenta vulnerabilità critiche, due con CVSS 9.9, una con CVSS 10.0 (già corretta) e 13 con valutazione “Exploitation More Likely” ci dicono che questo non è un mese in cui i team di sicurezza possono rallentare. È un mese in cui occorre lavorare esattamente con la stessa intensità di sempre, sicuramente senza la pressione aggiuntiva dello zero-day ma con lo stesso volume di lavoro.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • cyber attacchi iran; Crif: l'Iran al terzo posto per furto di email, Italia nel mirino nel dark web

  • attacchi cyber nazione

    L'Iran ha cominciato la contro-guerra cyber: dai Ddos ai sabotaggi, ecco cosa bisogna sapere

    16 Mar 2026

    di Alessandro Longo

    Condividi
  • sicurezza nella supply chain approccio e soluzioni

  • la guida pratica

    Fornitori rilevanti NIS: ecco le FAQ per una loro corretta individuazione

    14 Apr 2026

    di Sandro Sana

    Condividi
  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione; In Iran la sorveglianza digitale va a caccia di manifestanti; Guerra in Iran, il blackout informativo come cyber sabotaggio; Data center in guerra: l'interruzione di Amazon Cloud negli Emirati arabi uniti dimostra che oggi il rischio è multi-rischio; LLM in guerra: il Pentagono aprirà alle aziende la possibilità di traininig dell'AI con dati riservati

  • guerra in iran

    L’attacco fisico al data center Amazon negli Emirati che ridefinisce il rischio cloud

    04 Mar 2026

    di Mirella Castigli

    Condividi
  • Come scegliere tra vpn Free o Vpn a pagamento? leggi nell'articolo la risposta

  • LA GUIDA

    VPN Free o VPN a pagamento: quale scegliere

    20 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
0
Lascia un commento, la tua opinione conta.x