Il Patch Tuesday di giugno 2026 entra direttamente nella storia. Dustin Childs di Zero Day Initiative, che conta le CVE di ogni pacchetto cumulativo di aggiornamenti Microsoft dal 2017, lo ha detto senza giri di parole: “questo è di gran lunga il rilascio mensile più grande che abbia mai contato”.
La cifra ufficiale è di 206 CVE corrette, con 33 classificate con un indice di gravità critico, tre zero-day e una falla in Exchange Server che risulta essere già attivamente sfruttata.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti per questo mese sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Il quadro generale: un record che non ammette distrazioni
Se si includono le 360 vulnerabilità Chromium/Edge corrette da Google nel medesimo ciclo (e che insistono sullo stesso ecosistema dei browser Windows) il totale mensile raggiunge la cifra straordinaria di 571 CVE.
Un numero che non ha precedenti e che si inserisce nella traiettoria già identificata il mese scorso: i sistemi AI di ricerca automatizzata delle vulnerabilità, a cominciare da MDASH di Microsoft, stanno accelerando la scoperta di falle a una velocità che i processi di patching faticano a sostenere.
Nel complesso, le tipologie di vulnerabilità corrette sono le seguenti:
- 65 di tipo escalation di privilegi;
- 55 di esecuzione di codice remoto;
- 28 di tipo spoofing;
- 30 di tipo Information Disclosure;
- 19 che consentono il bypass delle funzionalità di sicurezza;
- 9 di tipo Denial of Service.
Ma il dato numerico, per quanto impressionante, non è il cuore del problema di questo mese: il cuore sono le tre zero-day e il contesto in cui sono state prodotte.
La saga di Nightmare Eclipse: YellowKey, GreenPlasma e la guerra al vendor
Per comprendere il vero significato del Patch Tuesday del mese di giugno 2026 occorre partire da una storia che inizia ad aprile.
Il ricercatore di sicurezza che opera con gli pseudonimi Chaotic Eclipse e Nightmare Eclipse e già autore del PoC BlueHammer su Microsoft Defender pubblicato il 2 aprile scorso ha fatto di nuovo quello che aveva promesso: ha rilasciato pubblicamente due nuovi zero-day, YellowKey e GreenPlasma, esattamente alla vigilia del Patch Tuesday di giugno.
La motivazione dichiarata è sempre la stessa: profonda insoddisfazione per il modo in cui Microsoft gestisce il processo di divulgazione responsabile delle vulnerabilità e il programma di bug bounty.
Come ha scritto il ricercatore, il rapporto con Microsoft MSRC si è rotto irreparabilmente. Nel giro di due mesi, questo singolo ricercatore ha rilasciato pubblicamente sei zero-day su prodotti Microsoft: BlueHammer, RedSun, UnDefend, MiniPlasma, YellowKey e GreenPlasma. Tutti prima che Microsoft avesse una patch disponibile. E Nightmare Eclipse ha già annunciato una “sorpresa devastante” per il 14 giugno 2026.
Perché questa storia è rilevante per i CISO
Il caso Nightmare Eclipse non è una nota di colore. È un segnale sistemico che il rapporto tra la comunità di ricerca indipendente e i grandi vendor tecnologici è sotto pressione.
Quando quel rapporto si rompe, il risultato sono zero-day pubblici senza patch: esattamente il tipo di rischio che nessun programma di vulnerability management può gestire in modo ordinario.
E quando il ricercatore annuncia in anticipo la prossima release, il problema non riguarda più solo Microsoft: riguarda chiunque abbia endpoint Windows da proteggere, soprattutto in ambito aziendale.
CVE-2026-50507: YellowKey e il bypass di BitLocker con una chiavetta USB
La prima delle tre zero-day è CVE-2026-50507, la vulnerabilità battezzata YellowKey da Nightmare Eclipse: un bypass della cifratura BitLocker che il ricercatore ha descritto come “una delle scoperte più assurde che abbia mai fatto”, paragonandola a una backdoor integrata nel sistema operativo.
Il meccanismo di attacco è brutalmente semplice: l’attaccante collega una chiavetta USB con i file exploit al dispositivo bersaglio, protetto da BitLocker, e riavvia il sistema nel Windows Recovery Environment (WinRE).
In questo ambiente, tenere premuta una combinazione di tasti specifica innesca una shell con accesso completo e senza restrizioni al volume cifrato. La protezione crittografica, che dovrebbe rendere i dati inaccessibili anche in caso di furto fisico del dispositivo, viene aggirata come se non esistesse.
Il CVSS di 6.8 e la classificazione “Important” (anziché Critical) riflettono il requisito di accesso fisico: BitLocker è per definizione una protezione contro le minacce fisiche, quindi una vulnerabilità che richiede accesso fisico ha un vettore d’attacco intrinsecamente più limitato rispetto a un RCE di rete.
Ma questo non deve far abbassare la guardia: gli scenari di furto, smarrimento o accesso non autorizzato a dispositivi non presidiati sono esattamente quelli per cui BitLocker esiste.
CVE-2026-45586: GreenPlasma e il pericolo di escalation dei privilegi
La seconda zero-day è CVE-2026-45586, battezzata GreenPlasma: una vulnerabilità di escalation di privilegi nel processo Windows CTFMON (ctfmon.exe), il componente responsabile del supporto al riconoscimento vocale e alla scrittura manuale che, in ogni sessione interattiva di Windows, viene eseguito con i privilegi di SYSTEM.
Il meccanismo tecnico è sofisticato. Come ha spiegato il ricercatore Het Mehta che ha analizzato l’exploit, l’attacco individua una sezione di memoria arbitraria e inganna CTFMON nell’interagire con essa, manipolando una catena di chiavi di registro Windows e regole di permesso.
Il risultato è che un utente senza privilegi può creare oggetti di memoria arbitrari in directory accessibili a SYSTEM, potenzialmente permettendo la manipolazione di servizi o driver privilegiati che si fidano implicitamente di quei percorsi.
Il PoC rilasciato pubblicamente da Nightmare Eclipse è incompleto (al momento, manca il codice per ottenere una shell SYSTEM completa) ma questo non è di grande conforto: la storia del settore insegna che la distanza tra un PoC parziale e un exploit funzionale, in mani abili, si misura in ore.
CVE-2026-49160: la terza zero-day colpisce l’infrastruttura web Windows
La terza zero-day, CVE-2026-49160, è una vulnerabilità di Denial of Service nel protocollo HTTP/2 all’interno di HTTP.sys, il componente kernel di Windows che gestisce le richieste HTTP per IIS e altri servizi web Windows. Un attaccante non autenticato può inviare flussi di richieste HTTP/2 appositamente costruiti e mettere fuori servizio i server web esposti su internet.
A differenza delle altre due zero-day, CVE-2026-49160 era già pubblicamente nota prima del rilascio della patch.
L’impatto diretto è sulla disponibilità del servizio, non sulla confidenzialità dei dati, ma non va sottovalutato: in architetture dove IIS o altri servizi HTTP.sys-based gestiscono applicazioni business-critical, un DoS temporaneo si traduce in perdita di fatturato e possibile violazione degli SLA.
Inoltre, un server web temporaneamente offline può aprire finestre di opportunità per attacchi secondari durante il periodo di ripristino.
Il caso della zero-day in Exchange Server
Prima ancora del Patch Tuesday ufficiale del 9 giugno, Microsoft aveva dovuto fare i conti con un’emergenza non pianificata: CVE-2026-42897, una vulnerabilità di spoofing in Exchange Server 2016, 2019 e Subscription Edition, classificata Critical, era stata sfruttata attivamente in attacchi reali già dalla settimana del Patch Tuesday di maggio. Mentre non era ancora disponibile una patch, gli attaccanti ne approfittavano.
Microsoft ha risposto in due modi. Sul breve termine, ha attivato il servizio Exchange Emergency Mitigation (EM) per distribuire automaticamente una mitigazione temporanea ai server Exchange con il servizio abilitato.
Ma sul lungo termine, la patch definitiva è arrivata con il ciclo di giugno, quasi un mese dopo l’inizio dello sfruttamento attivo e questo intervallo di esposizione è inaccettabile per qualsiasi organizzazione che usi Exchange come infrastruttura email critica.
Giugno include anche ulteriori aggiornamenti per Exchange: CVE-2026-45583 (RCE), CVE-2026-45501/45500 (Spoofing), CVE-2026-45504 (EoP) e CVE-2026-45503/45502 (Information Disclosure).
La quantità di CVE Exchange in un singolo ciclo è un segnale che la superficie d’attacco di questo prodotto rimane strutturalmente critica e richiede un monitoraggio dedicato.
Kerberos, Active Directory e Hyper-V: l’infrastruttura core nel mirino
Nel Patch Tuesday del mese di giugno 2026 sono presenti gli aggiornamenti per altre tre importanti vulnerabilità che, se non corrette, potrebbero esporre direttamente l’infrastruttura code del sistema operativo.
La CVE-2026-47288 in Kerberos KDC: il cuore dell’autenticazione di dominio
Una delle vulnerabilità più pericolose del mese per le infrastrutture Enterprise è la CVE-2026-47288, una RCE nel Kerberos Key Distribution Center (KDC) di Windows, il servizio di autenticazione che gira su ogni domain controller Active Directory ed è responsabile dell’emissione dei ticket Kerberos nell’intera rete aziendale.
La vulnerabilità è causata da un integer overflow e consente a un attaccante autenticato sulla rete locale o adiacente di eseguire codice sul KDC. Come ha sottolineato CrowdStrike, “una vulnerabilità qui potrebbe permettere agli attaccanti di prendere di mira i server più sensibili in un ambiente Enterprise”.
La classificazione come Critical e il vettore “adjacent network” significano che un attaccante già all’interno del perimetro di rete, tramite phishing, VPN compromessa o lateral movement, può usare questa falla per compromettere il domain controller.
La CVE-2026-45648 in Active Directory Domain Services
In parallelo, la CVE-2026-45648 introduce un vettore di esecuzione di codice remoto direttamente nei Domain Services di Active Directory.
Come per Kerberos, la compromissione di Active Directory equivale alla compromissione dell’intera infrastruttura di identità aziendale: tutti gli account, tutti i permessi, tutte le risorse gestite dal dominio diventano potenzialmente accessibili all’attaccante.
Hyper-V: tre CVE di tipo “guest-to-host escape”
Infine, il mese di giugno 2026 porta tre vulnerabilità critiche in Windows Hyper-V (CVE-2026-47652, CVE-2026-45641, CVE-2026-45607), tutte classificate come RCE con potenziale guest-to-host escape: un attaccante con accesso a una macchina virtuale guest potrebbe eseguire codice sull’host fisico Hyper-V, compromettendo tutte le VM in esecuzione su quel server.
In architetture multi-tenant (cloud privati, ambienti di virtualizzazione Enterprise, provider di servizi gestiti MSP) questo tipo di vulnerabilità ha un raggio d’azione potenzialmente illimitato: un singolo guest compromesso diventa il vettore per compromettere l’intero hypervisor e tutto ciò che vi gira sopra.
Remote Desktop e Office: le superfici d’attacco Enterprise più sfruttate
In Patch Tuesday di giugno 2026 interviene su altre vulnerabilità nei sistemi Windows e nelle applicazioni collegate che potrebbero avere impatti importanti sulle superficie di attacco delle aziende.
Remote Desktop Client: corrette 11 vulnerabilità
Questo mese Microsoft corregge 11 vulnerabilità nel Remote Desktop Client, alcune delle quali classificate Critical (CVE-2026-44801, CVE-2026-44799, CVE-2026-42992, CVE-2026-42985 e altre).
Il vettore di sfruttamento è doppio: un utente che si connette a un server RDP malevolo o apre un file .rdp appositamente costruito può ricevere codice in esecuzione sulla propria macchina. In un contesto di lavoro ibrido e smart working dove l’accesso remoto è la norma, questa superficie d’attacco è enormemente estesa.
La raccomandazione operativa va oltre il semplice patching: limitare le connessioni RDP ai soli server fidati e verificati, implementare Network Level Authentication (NLA) ovunque, e valutare l’adozione di soluzioni di remote access zero-trust che non espongano direttamente il protocollo RDP.
Microsoft Office: RCE su Outlook, Word ed Excel
La lista di CVE Office di giugno è lunga e articolata: CVE-2026-45458 e CVE-2026-45456 sono RCE Critical che interessano contemporaneamente Outlook e Word, sfruttabili tramite documenti malevoli.
La Preview Pane di Outlook rimane ancora una volta il vettore chiave. Tre mesi consecutivi di vulnerabilità Office sfruttabili via anteprima del messaggio dovrebbero essere sufficienti a spingere qualsiasi organizzazione ad adottare la misura di hardening più semplice disponibile: disabilitare la Preview Pane per i messaggi da mittenti esterni.
Oltre alle RCE, giugno introduce CVE-2026-45459, un Security Feature Bypass in Microsoft Excel che potrebbe ricordare CVE-2026-26144 del marzo scorso, la falla che aveva trasformato Microsoft Copilot in un potenziale vettore di esfiltrazione dati.
Con Copilot sempre più integrato nelle applicazioni Office, ogni bypass delle feature di sicurezza di Excel merita analisi approfondita.
Secure Boot, Cryptographic Services e il perimetro di integrità pre-OS
Il Patch Tuesday di giugno 2026 include, infine, una serie di aggiornamenti per Secure Boot e UEFI Secure Boot (CVE-2026-48576, CVE-2026-48575, CVE-2026-48573, CVE-2026-48570, CVE-2026-48568, CVE-2026-45656, CVE-2026-45654, CVE-2026-45588), oltre a un fix per Windows Boot Manager (CVE-2026-47656).
Il contesto non è casuale: con YellowKey che sfrutta il Windows Recovery Environment per bypassare BitLocker, Microsoft sta lavorando a un rafforzamento sistematico dell’intera catena di fiducia pre-OS, da UEFI a Secure Boot a BitLocker.
Di particolare rilievo è anche la vulnerabilità tracciata come CVE-2026-44810, una EoP critica nei Microsoft Cryptographic Services: si tratta di un sottosistema fondamentale che gestisce le operazioni crittografiche di Windows, incluse quelle alla base di BitLocker, Secure Boot e HTTPS.
Una compromissione di questo componente avrebbe implicazioni che si propagano a tutti i meccanismi di sicurezza che dipendono dalla crittografia di sistema: cioè, praticamente tutti.
Da segnalare anche la CVE-2026-42829, un bypass della Windows Administrator Protection (la nuova feature di sicurezza introdotta in Windows 11 26H2 per limitare i privilegi anche degli account amministratori) e la CVE-2026-45595, un bypass della Mark of the Web, il meccanismo che avvisa gli utenti quando aprono file scaricati da Internet.
Entrambi sono vettori tipici delle campagne di installazione di malware tramite file scaricati o phishing.
La crisi del disclosure e la nuova geometria del rischio
Dall’analisi degli aggiornamenti rilasciati da Microsoft in occasione del Patch Tuesday del mese di giugno 2026 possiamo trarre tre importanti considerazioni.
Il volume dei Patch Tuesday è diventato insostenibile con i processi tradizionali
200 CVE al mese, di cui 33 critiche, non possono essere gestite con un ciclo mensile di test, approvazione e deployment basato su revisione manuale.
Le organizzazioni che non hanno ancora automatizzato almeno la fase di deployment delle patch sui sistemi non critici stanno accumulando un debito di sicurezza che si misurerà in incidenti.
L’automazione del patch management non è più un’opzione avanzata: è un requisito minimo.
Il caso Nightmare Eclipse è un problema strutturale, non un episodio isolato
Sei zero-day pubblici in due mesi da un singolo ricercatore, con un settimo annunciato. Microsoft ha risposto migliorando il programma bug bounty a maggio, ma evidentemente non in modo sufficiente a placare la situazione.
Questa dinamica (ricercatori frustrati che scelgono la divulgazione pubblica come strumento di pressione) è destinata ad aumentare man mano che crescono i sistemi AI che trovano vulnerabilità, abbassando la barriera tecnica per chi vuole fare ricerca.
Il settore ha bisogno di standard di disclosure più chiari, processi più trasparenti e meccanismi di risoluzione delle controversie che non si concludano con zero-day su GitHub.
BitLocker non è una garanzia assoluta: la difesa fisica conta
YellowKey ricorda una verità fondamentale che il mondo della sicurezza tende a dimenticare nell’era del cloud e della gestione remota: la sicurezza fisica degli endpoint conta ancora enormemente.
BitLocker con TPM-only non è una protezione contro un attaccante con accesso fisico al dispositivo, non lo è mai stato del tutto, e YellowKey lo conferma drammaticamente.
La risposta è stratificata: TPM+PIN, policy di controllo degli accessi fisici, monitoraggio dei boot da dispositivi USB e, soprattutto, processi di incident response che non presuppongano la totale inviolabilità del full disk encryption come ultima linea di difesa.
