Microsoft ha rilasciato il Patch Tuesday per il mese di luglio 2026 e il numero di vulnerabilità impattate parla da solo: 622 CVE corrette in un singolo ciclo di aggiornamenti mensile, secondo il conteggio del Microsoft Security Update Guide.
Tra queste, anche due vulnerabilità zero-day già sfruttate in attacchi reali su SharePoint Server e Active Directory Federation Services. Ma con una particolarità: nessuna delle due supera il punteggio CVSS di 6 e questo è un segnale inequivocabile del fatto che, proprio questa valutazione, non è più lo strumento giusto per decidere cosa patchare per primo.
Di fatto, è cambiata la “matematica” del triage: infatti, quando un singolo rilascio mensile porta 622 CVE, di cui 63 classificate come critiche, è proprio il termine “Critical” a perdere capacità discriminante. I due bug già sfruttati attivamente questo mese hanno ottenuto un punteggio CVSS di 5.3 e N/D: ciò significa che chi fa triage esclusivamente per punteggio li processerebbe per ultimi e sarebbe un errore grave.
Indice degli argomenti
Un record che ridefinisce il concetto di Patch Tuesday
La Zero Day Initiative, contando in modo indipendente, è arrivata arriva a 621 falle di sicurezza corrette e, se si aggiungono le circa 480 vulnerabilità Chromium ed Edge gestite separatamente da Google, il totale mensile supera il migliaio. Come ha scritto Dustin Childs di ZDI, “il totale CVE dall’inizio dell’anno supera già quello di qualsiasi altro anno intero”.
Luglio è storicamente uno dei mesi più leggeri del calendario Microsoft. Il fatto che quest’anno sia diventato il mese record non è una coincidenza: è il risultato diretto dell’accelerazione imposta dai sistemi AI di vulnerability discovery, a partire da MDASH, il sistema multi-modello agentico di Microsoft che ha trovato 16 delle CVE di maggio da solo.
In un post pubblicato cinque giorni prima del Patch Tuesday, il 9 luglio, Microsoft aveva già avvertito i clienti di aspettarsi “un volume più alto di aggiornamenti di sicurezza in ogni rilascio” a causa di questo cambiamento strutturale.
Le zero-day da patchare subito: SharePoint e Active Directory già sotto attacco
Come dicevamo, il Patch Tuesday del mese di luglio 2026 interviene, tra le altre, su due vulnerabilità zero-day che risultano essere state già sfruttate in attacchi reali.
L’escalation di privilegi senza autenticazione su SharePoint Server
La prima zero-day confermata come attivamente sfruttato è CVE-2026-56164, una vulnerabilità di escalation di privilegi in SharePoint Server che consente a un attaccante non autenticato di elevarsi attraverso la rete, senza interazione da parte dell’utente.
Microsoft ha accreditato la scoperta agli incident responder di Mandiant e Google FLARE: una firma eloquente, che indica la vulnerabilità è stata identificata mentre veniva già sfruttata in attacchi reali.
Il CVSS di 5.3 è fuorviante. La vulnerabilità è remota, non richiede credenziali e non richiede interazione utente: tre caratteristiche che, in qualsiasi valutazione di rischio contestuale, portano la priorità operativa ben oltre quello che suggerisce il numero.
Microsoft aggiunge un ulteriore elemento di pressione: il 14 luglio 2026 è, infatti, l’ultimo giorno di supporto esteso per SharePoint Server 2016 e 2019. A differenza di Windows Server e SQL Server, non esiste un programma ESU a pagamento. Chi non aggiorna oggi perde ogni copertura di sicurezza futura.
Active Directory Federation Services: il proxy dell’identità nel mirino
La seconda zero-day è la CVE-2026-56155 in Active Directory Federation Services (AD FS), la componente che emette i token di autenticazione federata per l’intera infrastruttura di identità aziendale. La scoperta viene accreditata a DART, il team di incident response interno di Microsoft, un’altra firma che dice tutto sulla provenienza: trovato durante la gestione di attacchi reali.
La vulnerabilità richiede accesso autenticato con privilegi bassi, ma questo non deve far abbassare la guardia. AD FS è il nodo che firma i token di fiducia per tutto il resto dell’infrastruttura: un attaccante che eleva i propri privilegi su quel sistema ottiene la capacità di muoversi lateralmente in modo molto più ampio di quanto il punto di accesso iniziale lasci supporre.
Come nota ZDI, CVE-2026-56155 può essere combinata con una vulnerabilità RCE: uno scenario tipico nelle catene di attacco ransomware avanzate.
Vulnerabilità in VMSwitch: quando il guest raggiunge l’host
La vulnerabilità con il punteggio più alto del mese non è una delle zero-day sfruttati, ma merita attenzione immediata per ragioni diverse. La CVE-2026-57092 è una use-after-free in Windows VMSwitch, il componente di switching virtuale di Hyper-V, con un punteggio CVSS di 9.9.
Il meccanismo è quello più temuto in ogni architettura di virtualizzazione: un attaccante con privilegi bassi all’interno di una macchina virtuale guest può sfruttare la vulnerabilità per eseguire codice sull’host fisico Hyper-V, uscendo dal confine di isolamento della VM.
E questo può accadere in ambienti multi-tenant, in cloud privati e in architetture MSP dove decine di client condividono lo stesso hypervisor fisico: ciò siginifica che il raggio d’azione di questa vulnerabilità è potenzialmente illimitato. VMSwitch è presente in praticamente ogni deployment Hyper-V, il che rende la superficie d’attacco universale.
Kerberos RC4 rimosso: serve un audit prima di patchare
Tra tutti gli aggiornamenti di questo mese, ce n’è uno che non è una vulnerabilità ma che può avere l’impatto operativo più immediato: la rimozione definitiva dello switch di rollback RC4DefaultDisablementPhase in Kerberos. Microsoft stava eliminando il supporto RC4 dall’autenticazione Kerberos da gennaio di quest’anno; da luglio, quel meccanismo di emergenza non è più disponibile.
Il risultato concreto è che qualsiasi account di servizio, applicazione o client legacy che ancora richiede ticket Kerberos con cifratura RC4 fallirà l’autenticazione dopo l’aggiornamento.
Non si tratta né di un attacco né di una compromissione, ma può essere indistinguibile da un outage critico per chi non l’ha verificato in anticipo.
Dunque, la sequenza corretta da seguire per valutare l’applicazione dell’aggiornamento è il seguente:
- audit: usare gli eventi RC4 aggiunti da Microsoft a gennaio per identificare gli account ancora RC4-dipendenti;
- rotazione password: forzare la rigenerazione delle chiavi AES per gli account flaggati;
- solo allora, applicare l’aggiornamento.
Tre considerazioni finali: il triage nell’era dei 622 CVE
Alla luce dei dettagli tecnici del Patch Tuesday appena analizzati (sulla pagina ufficiale Microsoft sono presenti tutte le altre informazioni tecniche), è opportuno fare tre considerazioni operative.
Il CVSS non è più uno strumento di triage sufficiente
I due zero-day attivamente sfruttati di questo mese hanno punteggi di 5.3 e N/D. Un processo di prioritizzazione basato esclusivamente sul punteggio li avrebbe posizionati in coda.
Il triage moderno deve combinare: flag di sfruttamento attivo (Microsoft Exploited, CISA KEV, EPSS), esposizione della superficie d’attacco nell’ambiente specifico, e impatto sul business in caso di compromissione. Il punteggio è un dato, non una decisione.
SharePoint è diventato un bersaglio strutturale, non occasionale
Zero-day attivo nel ciclo di luglio 2026. Zero-day attivo nel ciclo di giugno 2025 (ToolShell). Due RCE unauthenticated da Pwn2Own Berlin. Una catena con metà patch rinviata ad agosto.
Le organizzazioni che eseguono SharePoint on-premise devono iniziare a trattarlo come infrastruttura critica con cicli di patching prioritari e monitoraggio dedicato, non come un’applicazione ordinaria che aspetta la finestra mensile.
L’automazione del patching è un requisito, non un’opzione
622 CVE al mese non si gestiscono con processi manuali.
Le organizzazioni che non hanno ancora implementato patch management automatizzato per le componenti a basso rischio, con finestre di emergenza predefinite per le CVE con sfruttamento attivo, stanno accumulando un debito di sicurezza che si misurerà in incidenti.
La direzione è chiara: i volumi aumenteranno ulteriormente, non si stabilizzeranno.















Partecipa alla community